SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Carbon Black Cloud Endpoint 【PoC Manual Tips】

Carbon Black
2021.09.30

こんにちは。SB C&S 渡邊です。
当社ではCarbon Black Cloud Endpoint (以下CBC)の導入に向けた有償のPoCサービスをご用意しております。
またPoCサービスの一部として、PoC手順書をご提供しています。
PoC手順書はお客様が期間中に設定方法や操作方法をご確認いただく際の参考資料となります。
主な内容としては以下の通りです。

  • 事前準備(ネットワーク環境の確認、インストール前の準備)
  • センサーのインストール方法
  • アラートの確認方法
  • 端末への遠隔操作例
  • ログの検索方法、検索例
  • LiveQuery の利用例  など

これらの内容に伴い、PoC手順書では導入の際の課題点や疑問点となるポイントに対する解決案をTipsとして補足しています。
今回はそれらのTipsをいくつか紹介していきます。

<PoC Manual Tips>

  • 他社アンチウイルス製品と共存させる方法

インストール対象のデバイス内に既存のアンチウイルス製品が導入されている場合、競合を起こしてしまい想定された動作が確認できない可能性があります。
この状況を防ぐためには事前にCBCのポリシーで除外設定を適用する必要があります。
ポリシー内の許可設定で他社製品がインストールされているフォルダを指定することで、他社製品との共存が可能です。

sensorjogai.png

また他社製品側でCBCセンサーの除外設定が必要な場合は以下のパス、フォルダ情報を適用することでCBCセンサーのプロセスを正常に稼働できます。

sensorjogai2.png

  • アンインストールの制御

CBCセンサーをデバイスに導入後、ユーザーが不用意にセンサーをアンインストールしないように制御することが可能です。
設定を有効にするとユーザーはセンサーアンインストール時にアンインストールコードを求められます。

図2.png

アンインストールコードは会社コード表示の登録解除コードに記載されています。

図1.png

  • アラート確認後の対応例

本手順書ではCBCで実際にアラートを発生させるテスト方法、
またアラート検出後のトリアージから、その後の端末のネットワーク隔離、通知方法についての対応例も記載しています。
以下ではアラートを検出した後のLive Responseを利用した調査、対処例を紹介していきます。
Live Responseはセンサー導入されたデバイスに遠隔からCLIを用い様々な操作を行う機能です。

実行可能なコマンドの一覧はhelpから確認可能です。

図1.png

以下ではWevtutilコマンドを用いてリモートWindowsマシンのセキュリティイベントログを閲覧しています。

図2.png

Live Response機能はWindowsだけでなくmacOS,Linuxでも利用できます。
またそれぞれのOSにおける調査、対処によく使われるコマンド例も本資料で紹介しています。

まとめ

今回は有償PoCサービス内でご提供している、PoC手順書内容の一部をご紹介しました。
実際のPoC手順書では初期管理者のアクティベーション方法、端末へのセンサーインストール手順、エンドポイントの管理画面や検索クエリの利用方法等も詳細に説明しています。
お客様がPoC期間中に確認するべき様々なポイントをカバーした内容となっております。

またPoC手順書以外にも導入支援の資料や、導入後の運用をサポートする有償サービスもご用意しております。
今後のエンドポイントセキュリティのスタンダードとなるEDRに興味のある方、エンドポイントのNGAV機能を試してみたいという方はEngineer Voiceのお問い合わせバナーより是非ご連絡ください。

製品情報はこちら

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 3課

渡邊 理史