はじめに
みなさんこんにちは。今回はCrowdStrikeのFalcon Prevent(NGAV)に関する内容でございます。。CrowdStrikeといえばEDRとして著名なメーカーですが、NGAVとFW、USB制御を提供するバンドルモデルも提供しております。下記が主要なライセンス体系となりますが、今回はFalcon Proから提供しているFalcon Preventについてご紹介させていただきます。
Falcon Preventのご紹介
前段で記載した通りNGAVを提供している機能となっております。人工知能、振る舞い検知、機械学習、エクスプロイト緩和策などを組み合わせた次世代型アンチウイルスにて既知および未知の脅威を予測し、直ちに防御することが出来ます。また、最新の脅威対してもリアルタイムで対策を実施しており、昨今脅威となっているランサムウェアやラテラルムーブメント(横展開)に対してもポリシー上でシンプルに設定することが可能です。
実際のランサムウェアおよび、横展開の防止やエクスプロイト緩和策に関する設定の実画面を下記に添付いたします。
次項から実際に導入前に気になるFalcon Preventの運用について特徴をご紹介いたします。
Falcon Preventの特徴
・インシデント発生時のプロセスツリーを提供
従来のEPP、NGAVを提供している製品ではマルウェアをブロック、検知した際はメールで通知されコンソール上でログベースで調査を行う必要があったかと思います。しかし、Falcon Preventではブロックアラートのみではなく該当端末がどのようなプロセスを辿ってマルウェアを防御したかといったプロセスツリーや実行されたコマンドラインなど、セキュリティアラートをより分かりやすく可視化しております。
下記が実際のアラート画面となりますが、ブロックしたマルウェア、ファイルも視覚的に明確となっており各プロセスを選択することでより詳細な情報が表示されるため簡易的なEDRとして検知結果を提供します。
・レスポンス機能で遠隔操作が可能
EDRのソリューションで提供している管理コンソール上で端末の隔離やコマンドラインベースのリモート接続もFalcon Preventは提供しております。
まずネットワークの隔離処理ですが、コンソール上で管理ホストの一覧やアラートが発生した端末に対してアラート画面から対処することが可能です。ネットワークの隔離はCrowdStrikeとの通信以外は内部、外部との通信を停止いたします。
また、コンソールから直接Windows、Mac、Linuxのホストでコマンドを実行しインシデント対応を実施することが可能です。
ファイル消去やプロセスの停止、ファイル情報一覧の表示など該当の端末に対して物理的に操作せずともリモートで修復対応出来ます。
・SOAR機能が搭載
Falcon Preventには標準でSOAR機能が搭載されております。特定のシナリオやインシデントに対するアクションを自動化してセキュリティ管理者が対処すべきワークフローを自動化、合理化することができます。
一次対応や管理者がより詳細に調査する際に実施するために対処するであろう隔離処理もアラートのセビリティに応じて自動化することが可能です。
具体的な設定方法については記事がございますのでコチラをご覧ください!
【CrowdStrike】Fusion Workflowでセキュリティ運用を自動化しよう!
以下、Fusin SOARの実画面となります。
まとめ
いかがでしたでしょうか。
CrowdStrikeが提供するその他のソリューションについてブログ形式でご紹介しますので是非今後の記事についてもご期待ください!
ここまでご覧いただきありがとうございました。
その他CrowdStrikeに関する記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
宮尾 優一