S&J
エスアンドジェイこちらの製品に関するお問い合わせはこちらから
KeepEye
KeepEyeは、従来のソフトウェア提供のEDR製品とは違い、本来あるべきEDR(エンドポイントでの脅威を検知し、対応を支援する)をご提供するソリューションです。
KeepEyeを導入することにより 、お客様のPCにおける不審な挙動を検知・停止することができるようになります。
また、 PCのログ(マルウェアに関連するログや内部犯行に関連するログ)も取得しておくことが可能なため、不審な挙動や操作が発生した際に、そのトリガーや影響についてS&Jの専門アナリストが分析を行います。SOC Engineを導入することでネットワークログとの相関分析も可能になります。
KeepEyeを導入することで、お客様は以下のような導入効果を得られます。
- PC上でのマルウェアによる不審な挙動を自動停止することにより、感染による被害を防御
- CSIRTでこれまで調査できなかった不審な挙動のトリガーや影響の分析を専門家に委託し、適切かつ迅速にインシデントレスポンス対応を実現
- IT資産管理ツールでは取得できない内部犯行に関するログを取得し、その分析も委託可能
- 多層防御/運用の大幅見直しが行え、セキュリティ対策のコストダウンを実現
KeepEyeをCSIRT/SOCアウトソーシングサービスとともにご利用いただくことで、SOCの統合ログ分析システムで他のセキュリティ機器やネットワーク機器等のログと相関分析をすることができ、エンド・トウ・エンドでの一貫したセキュリティ運用監視が可能になります。
① EDR機能
EDR機能には、以下4つの機能があります。
- エージェント内で、振る舞いをもとにマルウェアを検知
- エージェントからの情報をもとにクラウド上のAI機能を用いてマルウェアを検知
- 検知されたマルウェアの自動停止(自動停止しない設定も可能)
- ホワイトリスト管理
② ログ取得/蓄積機能
ログ取得機能で取得するログは、以下の2つのパターンとなります。
- マルウェアログ:マルウェア関連のログ情報を取得
- ユーザ操作ログ:ユーザの操作ログを取得
また、取得したログの蓄積先を、ローカルか、クラウドか選択可能です。
- ローカル:指定サイズ(デフォルト1GB)までローカルに保存 (※メリット:安価)
- クラウド:指定期間クラウドに保存 (※メリット:IR時にすぐに分析が開始できる)
③ IR支援
IR支援には、以下3つのパターンがあります。
マルウェアIR Basic
- 前提条件:「①EDR機能」の導入が必須となります
- 概要:EDR機能で検知されたマルウェアの自動停止をしない場合、お客様に確認してから停止
マルウェアIR Advanced
- 前提条件:「②ログ取得/蓄積機能 マルウェアログ」の導入が必須となります
- 概要:S&Jのアナリストにて、ログ調査や対処を行う内容は以下になります
-
- マルウェアの挙動、ファイル作成履歴の調査
- リモートで、ファイルの取り出し、マルウェアかどうかの調査
- リモートで、不審なプロセスの停止、必要であれば隔離
操作ログIR Advanced
- 前提条件: 「②ログ取得/蓄積機能 ユーザ操作ログ」の導入が必須となります
- 概要: S&Jのアナリストにて、ログ調査や対処を行う内容は以下になります
-
- 外部記憶媒体への書き出し、印刷、アプリケーションの利用履歴などを調査
