SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

Carbon Black Cloud SOCサービスについて

Carbon Black
2022.09.08

今回はSB C&Sが提供しているCarbon Black セキュリティ監視サービス(SOC)についてご紹介します。

  • Carbon Black Cloud SOC紹介

当社ではお客様にCarbon Black Cloudをご採用いただくにあたり、併せてSOCサービスの導入も推奨しております。
Carbon Black Cloudの目玉として備わっているEDR機能は、攻撃者がエンドポイント上で不審な動作を実行しているかを監視し、脅威の検知・分析を行う機能です。
EPP/NGAVなど"防御"を目的とした製品とは異なり、EDRでは防御をすり抜けエンドポイントに侵入した攻撃を"検知・分析"し攻撃に対して迅速な対応を行うことを目的としています。

図1.png

Carbon Black CloudのEDR機能をフル活用するためには、上図のような形でCarbon Black Cloud導入後もセキュリティ有識者によって常時エンドポイントのセキュリティ監視を行う体制が求められます。

EDRの運用方法としては自社で運用担当者を準備し管理する方法、または他社のSOCサービスを使用し外部委託する方法が考えられます。
それぞれの運用方法の特徴としては以下の通りです。

運用スタイル比較.png

EDRを自社で運用することはもちろん可能です。
メリットとして自社内で完全に管理することで、自社の環境に合わせた運用体制の決定が可能です。
ただし発生費用やセキュリティレべルに関しては自社内で準備できる担当者に依存すること(高いセキュリティレベルを保つには、セキュリティに関する高度な知識を持つ担当者が必要)や、担当者による恒常的な監視という人的リソースが求められます。
またインシデントへの最終的な判断や対応策の決定は自社そして担当者に委ねられます。

これに対して外部のSOCサービスを利用しEDRを運用する方法がございます。
EDR運用を外部に委託することで、恒常的監視や担当するセキュリティ有識者の準備が不要(担当者のアサインは推奨)になり、高度なレベルでセキュリティを保つことが可能です。
ただしお客様のご要望に合わせてEDRのSOCサービスを個別設計し継続的にサービス提供を行う場合は、発生する費用は高くなりがちです。
そこで当社ではお客様の費用を抑えてSOCサービスを提供するために、パッケージ化した内容のシェアードサービスとしてSOCサービスをご用意しております。

  • Carbon Black Cloud SOC概要

SOCサービスでは、お客様環境のエンドポイント上で検知したアラートを監視センターに連携し、緊急度に応じてお客様へのインシデントの通知や緊急の対処を実施します。
Carbon Black SOCのサービスイメージは以下の通りです。

SOCサービス.png

以下では弊社SOCにて提供している基本的なサービスの内容を一部ご紹介します。

  • リアルタイムアラート監視

当社監視センターにて監視対象製品で発生したアラートを24/365体制で監視します。
当社監視オペレータが分析と脅威判定を行い、規定レベル以上(SOC基準)のインシデントと判断された場合、お客様への緊急通報(メール及び電話)を行います。

  • インシデント詳細分析

発生したアラートが規定レベル以上(SOC基準)のインシデントと判定された場合、当社上位アナリストによる詳細分析と追加調査を行い、別途お客様へご報告を行います。
当サービスに関して、Carbon Black CloudのLive Response機能を利用して詳細調査を行う場合があります。
※同機能を有しているバージョンをご導入のお客様のみ対象となります。
※お客様に操作のご承認をいただいてから、調査対応を行います。

詳細分析報告.png

  • 端末隔離作業

規定レベル以上(SOC基準)のインシデントを検知した場合、Carbon Blackの製品機能を利用して、インシデント検知元端末をネットワークから強制隔離します。

端末隔離.png

  • 月次監視報告書の提供

当社SOCサービスにて、前月1日~前月末日までの監視実績を基にセキュリティ監視報告書を作成し、お客様にご提供します。
報告書の内容については以下のような項目を記載しております。
・当月のサマリ:監視対象期間におけるインシデント発生状況、検知アラートの傾向をサマリとして報告します。
・Medium以上のインシデント詳細:Medium以上のインシデントについて、脅威分析の結果を個別に報告します。
・Low以下のインシデント傾向解説:Low以下のインシデントについて、検知傾向や特質すべき点を解説します。

等々

    その他のサービスとして、お客様のご要件に基づきポリシーチューニングする基本ポリシー変更作業(10回/月)や、月次で実施する月次監視報告書を基にSOCアナリストが前月の監視実績報告する月次報告会、インシデント・製品仕様/操作に対するQ&A対応等も提供しております。

    • オプションサービス

    当社のSOCサービスでは基本メニューに加えてオプションのサービスメニューもご用意しております。
    以下ではオプションのサービスメニューを一部ご紹介します。

    • 個別アナリスト対応

    こちらのオプションサービスでは、当社SOCの上位アナリストがインシデントに対してスポットで個別対応支援を実施します。
    1回40時間程度(スポット契約毎)をベースにご提供しております。
    主に重大なセキュリティインシデント発生時や発生後の影響調査のシーンで有効なサービスです。

    個別対応.png

    その他にお客様環境に適した脆弱性情報を定期的に提供する脆弱性管理サービスや、お客様のご依頼に基づきポリシーチューニングする追加ポリシー変更作業(基本サービスにて提供している基本ポリシー変更作業の回数を追加)をご用意しております。

    • 運用準備サービス

    当社ではお客様にCarbon Black Cloudの検討および導入フェーズにスムーズに進めていただくため、各種デリバリーサービスをご用意しております。
    デリバリーサービスの内容としては、実際にお客様環境にて製品機能を検証していただく"PoCサービス"、お客様の導入時に製品の設計・設定・試験を当社にて実施させていただく"製品導入支援サービス"、そして運用前の準備フェーズを支援する"運用準備サービス"をご用意しております。

    当社のSOCサービスをご契約いただく際は、併せて上記の運用準備サービスのご契約が必須になります。
    本サービスは製品導入後の運用開始フェーズに向けて、監視時のノイズになるイベント・誤検知のチューニングやSOCサービスの運用仕様を策定するサービスです。
    期間は1.5~2ヶ月ほどお客様環境のモニタリングを行い、最終的な設定内容や運用フローを決定していきます。

    まとめ

    EDRはこれからエンドポイントセキュリティにおいて重要になる製品ですが、お客様に採用いただくにあたりネックとなる部分はやはり導入後の運用方法になります。
    EDR製品にて検知したアラートを読み解く知識(場合によっては高度なセキュリティ知識)、またその脅威によって受けた被害への判断・対応方法の確立など、自社のみでEDRの力を十全に発揮する運用が難しいと考えられるお客様は少なくないと思います。

    そこで当社ではお客様へのEDR導入後にかかるセキュリティの運用負荷、運用難易度の軽減を目的としてSOCサービスをご用意しております。
    またSOCサービスをご利用いただくにあたり懸念点となるコストについても、当社ではSOCの内容をある程度パッケージ化したシェアードサービスとして展開することで比較的に安価にご提供しております。
    EDR製品の導入を検討しているが運用面で不安が残る、といったお悩みをお持ちの方は是非弊社のCarbon Black Cloud SOCサービスをご利用いただければと存じます。

    お問い合わせ、詳細につきましては下記リンクをご参照ください。

    著者紹介

    SB C&S株式会社
    ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 3課

    渡邊 理史