デモンストレーション動画について
VMware Carbon Black Cloudの操作方法をご紹介するデモンストレーション動画を公開しました。
公開したデモンストレーション動画では基本的な製品の導入方法とアラートへの対応例を紹介しています。
VMware Carbon Black Cloudはエンドポイントセキュリティ製品です。そのため、アンチウイルスソフトウェアやEPPの置き換えとして採用されることもあり、そういった背景からか必要となる導入作業やマルウェア検出時の挙動について質問を受けることが多いです。公開したデモンストレーション動画には、これらの疑問点を解消する操作例が示されているためぜひご覧ください。
本ブログは動画では紹介しきれなかった補足情報をお伝えします。
導入のキモはポリシーのカスタマイズ
VMware Carbon Black Cloudにおいてポリシーは予防的動作を決定する設定です。リアルタイムなインテリジェンスの活用、カスタム防止ルールの作成、アプリケーション許可ルールの作成、USBデバイスのブロックなど、エンドポイントでセンサーがどのように相互作用するのか定義する動作設定のコレクションとなっています。
導入ではエンドポイントの特性に応じたポリシーを事前作成しておく必要があります。例えば、クライアントPC、サーバー、VDIといったシステム的な特性もあれば、取り扱う情報の機密性やサービスの可用性といった組織的な特性も考慮されます。
一般的な使用事例のテンプレートとして考案された事前定義済みのポリシーを利用する手もありますが、EDRの監視、分析、対応といったセキュリティ運用を見越すと、誤検知や過検知を削減するためにポリシーのカスタマイズは必ず発生します。
したがって、事前定義済みポリシーはベースラインレベルの確立に活用するにとどめ、導入計画にはポリシーのカスタマイズ作業を想定することをおすすめします。
EDRは適切な運用が重要
VMware Carbon Black Cloudのアラートは、NGAVで防止されたものとEDRで検知されたものがいずれも表示されます。NGAVで防止されたアラートは「適用されたポリシー」と表示されるため見分けることは容易です。
NGAVはあらかじめ脅威を防止することを目的とした機能です。そのため、アラートは防止した脅威の詳細を表示します。
EDRは高度な脅威を検知し、迅速に対応することを目的とした機能です。アラートは検知した脅威の詳細を表示しますが、正誤判定、初動対応、影響調査、原因調査、対応案の策定など、その運用には高度な専門性が要求されます。
EDRはインシデント発生時に必要なエンドポイントの情報を可視化し、対応に必要な各種アクションをリモート実行できるツールです。このツールを効果的に活用するには、組織による運用が不可欠であり、そのため、サイバーセキュリティを組織の継続的な課題として捉えている場合に適したソリューションといえるでしょう。
まとめ
今回はVMware Carbon Black Cloudのデモンストレーション動画のご紹介と、動画では紹介しきれなかったポリシーとアラートについての補足情報をお伝えいたしました。
動画やブログを通して、エンドポイントで採用されてきたアンチウイルスソフトウェアやEPP製品から、VMware Carbon Black CloudというEDR製品に置き換わることで、導入方法やアラートへの対応についてどのような変化が見込まれるのかをイメージしていただけましたら幸いです。
また、弊社ではデモンストレーション動画の次のステップとして、テクニカル講座やハンズオンセミナーもご案内しています。ご興味がございましたら下記URLリンクより、お申し込みをお願い致します。
VMwareテクニカル講座
VMwareの各種製品の機能をわかりやすく学んでいただくために、「VMwareテクニカル講座」と題するwebセミナーを無償で開催しています。これからVMware製品を学び始める方向けに重要な機能を一通り紹介しています。詳細、お申し込みはこちらをご確認ください。
VMwareテクニカルハンズオン
VMwareテクニカル講座をベースにした、より実践的なハンズオンセミナーを無償で開催しています。詳細、お申し込みはこちらをご確認ください。
皆様のご参加をお待ちしております。
Carbon Black Cloud デモンストレーション動画の一覧はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
千代田 寛 - Kan Chiyoda -
VMware vExpert