【EDR製品の監視・運用】ベンダーフリーで端末を監視、24時間365日の監視体制を高品質・低価格で

  • Facebookにシェアする
  • Twitterにシェアする
  • はてなブックマークにシェアする

SOC(Security Operations Center)は、組織のネットワークやシステム、デバイスからのログを監視・分析し、インシデントの検知と対応を行うための組織。情報漏洩やシステム侵害などセキュリティ上の問題を検出し、被害を最小限に抑える役割を担っています。

クラフで提供するSOC監視サービスの特徴や強みについて、シリーズでお伝えします。今回は、EDR製品のアラート監視・分析についてです。

SOC(セキュリティ監視)の必要性の高まり

セキュリティの脅威が高まる一方、セキュリティ製品を導入しても、ログの監視ができない、発生したアラートへの適切な対応ができていないといった企業も少なくありません。

SOCによって発生したアラートの切り分けや一次対応を行うことにより、被害拡大の抑制や正確な状況判断を行うことが可能になります。

また、SOCを導入していることで、セキュリティ対策がきちんとしていることを外部に向けてアピールできます。SOCの導入をビジネスの取引の要件としている企業もあります。

第三者によるSOCサービスの特徴

1.専門家のリソースを活用できる

外部SOCサービスには高度な専門知識を持つセキュリティアナリストが在籍しており、最新の脅威情報や攻撃手法に精通しています。自社のセキュリティチームでカバーできない高度な知識やスキルを用いて、監視・分析・報告を行います。

2.24時間365日の監視体制

外部SOCサービスではシフト体制を組んで24/265常時監視を行われており、発生したアラートに対してすぐに対応できる仕組みを構築しています。内部で同じレベルの監視を行うには、多くのリソースや人員が必要ですが、外部に委託することでその負担を軽減し、社内チームがコア業務に注力できるようになります。

3.脅威インテリジェンス

外部SOCサービスは、多様な顧客から得たデータや脅威インテリジェンスを活用し、網羅的に最新の脆弱性を把握し、継続的な改善を行います。自社だけでこれらの情報を収集・分析するのは難しいため、外部SOCサービスを利用することで持続的に改善し、安全且つ効率的な監視運用が可能になります。

EDRの監視・運用とは

EDR(Endpoint Detection and Response)は、PC、サーバといったエンドポイントにあたる端末を監視し、脅威を検知・対処するセキュリティ製品の総称です。具体的には、ウイルス対策や端末上で行われた不審な挙動を見つけてくれる振る舞い検知といった機能を持っています。

お客様がサーバやPCに導入したEDR製品から出てくるアラートを受け取り、それが危険なものかどうかセキュリティアナリストが分析し、お客様へ報告するサービスを提供しています。

企業の業種に関わらず、EDRは広く取り入れるべきセキュリティ対策と言えます。以前は端末ごとに手動で導入する必要がありましたが、最近では管理者が一括で全ての端末に導入できるEDR製品も増えてきました。導入自体のハードルは以前に比べるとかなり低くなっているのではないでしょうか。

一方で、導入はしているけれど運用ができていないというご相談が増えています。ランサムウェアをはじめサイバー攻撃の認知が高まり、対策のためにEDRを導入したものの、人手が足りない、技術がないといった問題で検知されたアラートに対処できていないというお話をよく伺います。

悪意のあるユーザによる挙動や攻撃パターンは様々ですが、EDR製品によって検知する範囲は異なります。不審な挙動を広く検知する製品もあれば、検知する範囲が比較的絞られている製品もあります。このように検知の範囲は製品に依存しているため、その中からどのアラートが本当に危険なものかどうかを分析し、取捨選択して対応していく必要があります。また、EDRは海外の製品が多く、英語で通知が届くため、運用の障壁となっている面もあります。

EDRの監視・運用は、私たちセキュリティアナリストが本当に必要な情報だけをお客様にお届けするため、毎日のように膨大な量の通知を担当者が確認する手間が省けたり、言語による障壁を取り除けたりとお客様の負担を減らすことのできるサービスです。

有事の際には迅速にお客様へ通知することはもちろん、毎月の状況をレポ-トとしてお届けすることで、自社の状況をハイライトで振り返り、今後の施策に活かすことができます。お客様からの質問にも対応しています。

対象製品一覧

クラフでは、ベンダーフリーでマネージドEDRを行っています。下記一覧にない製品も、ぜひご相談ください。

  • Cybereason EDR
  • Microsoft Defender for Endpoint
  • Carbon Black EDR
  • Sophos Intercept X with EDR
  • ESET Enterprise Inspector
  • Kaspersky Endpoint Detection and Response
  • FireEye Endpoint Security
  • McAfee MVISION EDR
  • CrowdStrike Falcon Insight
  • SentinelOne

クラフの強み

1.アナリストが分析し、危険と判断した情報をいち早くお伝えする

EDRから出てきたアラートをそのままお客様に提供するのではなく、クラフでは、アラートが本当に危険なものかどうかをアナリストが分析したうえで、危険と判断したものをお伝えする形でサービスを提供しています。

アラートとして検知する範囲はEDR製品によって異なりますが、プロの手で分析したうえで報告することで、製品の特性に依存することなくアナリストが危険と判断した情報をいち早くお伝えすることができるほか、情報を精査して報告することでお客様の負担を減らすことにも繋がります。

また、危険度が高い脅威をいち早くお伝えすることで迅速なインシデント対応に繋げ、被害の最小化を図ることができます。

2.標準化により高品質・低価格を実現

クラフのSOC(セキュリティ監視)の特徴は、プロセスの標準化です。ホワイトハッカーの分析プロセスを徹底的に標準化することで、信頼性の高いサービスを提供しています。

独自の脅威データベース、分析エンジンを活用することで高度分析を可能に。過検知・誤検知を減らしています。

また、生産性を高めることで費用の面でも、お客様から好評をいただいています。基本料金には、監視・インシデント通知・問い合わせ対応・月次レポートが含まれています。

【料金例】マネージドEDR ※~1,000台の場合

価格帯(月額)40万円~
課金体系ユーザー数
インシデント通知
問い合わせ対応
月次レポートプラチナプランにてご提供

3.いざという時の相談窓口として

クラフでは、お客様からのご質問・ご相談を随時受け付ける体制を整えています。

セキュリティの専門家が在籍していない会社も多い中、いざという時に安心できる相談窓口としてもご活用いただいています。

お気軽にお問い合わせを

クラフでは、総合的なセキュリティサービスを提供しています。セキュリティに関するご相談、ご質問がございましたらお問い合わせフォームからお気軽にご連絡くださいませ。

SOC(セキュリティ監視)

SOC(セキュリティ監視)

あらゆるデバイスやクラウド環境のログ監視し、緊急度の高いアラートを通知します。ログの設定から全アラートの月次レポートまで、セキュリティ監視に必要な運用を支援します。

more

この記事に関連する事業

関連記事