■はじめに

・Falconエクスポージャーとは

Falcon Exposure Management は、Falcon Insight XDRアドオンによって提供される
「アセット(端末・資産)を可視化し脆弱性の発見/管理は元よりセキュリティ設定の評価まで行える、運用管理に欲しい機能のオールインワン」
な機能です。

具体的には
--------------------------------------------------
Falcon Spotlight (=脆弱性管理)
Falcon Surface (=外部攻撃対象領域管理)
Falcon Discover (=資産管理)
+
その他Falcon Insight XDRアドオンにて追加される機能
--------------------------------------------------
といった各サブスクリプションにより提供される機能がパッケージされています。

今回の記事では上記のサブスクリプションに相当する機能画面を軸にFalcon Exposure Management をご紹介していきます。

　

・Falcon Exposure Management の資産管理の特長

・ワンエージェント/ワンベンダーで余計な工数を必要としない高品質なセキュリティと資産管理の実装　←他社製品だと実現が難しいエンジニアのおすすめポイント①
・様々な機器やカテゴリの脆弱性を管理するカバレッジの広さ　
←他社製品だと実現が難しいエンジニアのおすすめポイント②
・多様なフィルターによるフレキシブルな管理手段/視覚化の提供

　

・要件

サブスクリプション：Falcon Exposure Management （Falcon Insight XDRアドオン）
デフォルトのロール：Falcon管理者、エクスポージャー管理マネージャー
センサーのサポート対象OS：各機能により異なる

注：アクセスの制限されているロールについては、個々の機能のドキュメントを参照してください。

　

■機能(画面)のご紹介と簡単な利用例

・脆弱性管理

OS(Windows, Mac, Linux)やアプリケーションの脆弱性を可視化します。

可視化された脆弱性については、UI画面よりパッチ適用による修復や、修復のために必要な手順を確認することが可能です。
これらの可視化に追加のスキャンやスケジュールなどの設定は不要のため、負荷なく日々の脆弱性対策をおこなえます。

[脆弱性管理ダッシュボード画面]

[脆弱性一覧画面]
環境内のアセットに該当する脆弱性を一覧化して対応が必要なものを洗い出すことに利用可能。
また、こちらから必要な対策手順やパッチの適用もできてしまいます。

※脆弱性の詳細画面からMicrosoftのパッチを適用することも可能です！(画面右下の「パッチのインストール」)

[インストールされているパッチ]
パッチの適用状況を一意に確認可能です。
再起動など必要な場合は対象端末のユーザーへ注意喚起するといったシーンにも活用できます。

[レポート]
脆弱性や修復についての情報をレポートとしてスケジュールや任意のタイミングで外部出力することも可能です。
履歴やエビデンスとして保存したり、定量的な調査を行いたい際に活用できます。

※出力したレポート(脆弱性)の一例

　

・外部攻撃対象領域管理

環境内のアセットはEASMによってスキャンされます。
あらかじめ設定された条件を使用して、パブリックな環境から接続可能な状態にあるもの(インターネットに露出している)やポートが解放されているものを特定してくれます。
これにより、攻撃者が侵入経路とするアタックサーフェスについても対策管理することが可能です。
※EASM=クラウドストライクによるインターネットの外部スキャン

・資産管理

センサー等から情報を収集し、環境内のアセットやユーザー、インストールアプリケーションの状態を確認できます。
例としては環境内のアセットのリソース利用状況を含めた端末情報や、ログイン/ログアウト、ログイン失敗などの状況やパスワードの変更などユーザーアクティビティがございます。
または、インストールされたアプリケーションの利用等々をリアルタイムにモニターが可能です。
環境内で「デバイスが誰によってどのように利用されているか」を確認することができるため、危険な利用をされている端末や不審な活動をしているユーザーを簡単に捕捉できます。

[管理対象アセット] ※Falconセンサーがインストールされているアセット

[管理対象外アセット] ※Falconセンサーがインストールされているアセット

[サポート対象外アセット] ※Falconセンサーがインストール不可の環境内アセット

[システムインサイト] ※管理対象アセットのリソースデータやシステムの詳細までを一画面で確認できます。

[アプリケーション]
アセットにインストールされたアプリケーションを検出し一覧化してくれます。

任意の条件でユーザーがインストールしたアプリケーションを捕捉し、疑わしいアクティビティ使用状況や公開されている脆弱性状況まで詳細に確認することが可能です。

端末上にあるブラウザの拡張機能も可視化されています。
拡張機能は近年攻撃に利用されたり侵入経路となってしまうことが少なくない反面、管理者によるコントロールが難しい部分です。

詳細も掘り下げ可能

[ユーザー]
環境内で利用されているアカウントの一覧化や失敗したログイン等も確認可能です。

ログインの成功や失敗も見れます。

　

■最後に

今回はFalcon Exposure Management のおおまかな全体像をご紹介させていただきました。

もちろん今回ご紹介した以外の用途や、便利な機能が複数搭載されています。

資産管理や脆弱性対策は複数ベンダーの製品を導入して安価におさめようとした結果、煩雑で機能を使いこなせずにかえって導入コストや負荷など費用対効果がイマイチになりがちです。

そういった部分でお悩みの管理者の方々には、統一されたコンソールとセキュリティの確保に必要な機能をピンポイントに捉えたFalcon  Exposure Management は有効なアンサーとなるのではないでしょう。

---

※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
　正確性、最新性、完全性は保証できませんのでご了承ください。