マネージドセキュリティ
サービス for EDR
セキュリティアナリストの知見を活かして、
エンドポイントセキュリティ対策の運用を代行・サポートします。
エンドポイントセキュリティ対策の運用を代行・サポートします。
マネージドセキュリティ
EDRとは?
EDR (Endpoint Detection and Response) とは、増え続けるサイバー攻撃、特にマルウェアによる攻撃は増加の一途をたどっており、攻撃手法も巧妙化が進み、新種も続々と現れています。それらに対してネットワークセキュリティ対策だけでは完全に防ぐことは難しく、企業のネットワークにつながるエンドポイント、つまりサーバーやパソコン 、タブレットなど端末での確実な防御が必要となっています。
EDRを利用することで、エンドポイントを継続的にモニタリングし、不審な動作や挙動をいち早く検知し、迅速な対応を支援します。
EDRを利用することで、エンドポイントを継続的にモニタリングし、不審な動作や挙動をいち早く検知し、迅速な対応を支援します。
EDRの必要性
働き方改革やクラウド活用の増加などでリモートワーク・テレワークが常態化してきています。外部から社内ネットワークへのアクセス増加により、何かあった際に、すぐに端末や環境を調査することが難しくなり、エンドポイントセキュリティの強化が必要となりました。
そこで当社からおすすめしたいのが、エンドポイントの継続的なモニタリングです。モニタリングを継続的に実施することには、以下のようなメリットがあります。
そこで当社からおすすめしたいのが、エンドポイントの継続的なモニタリングです。モニタリングを継続的に実施することには、以下のようなメリットがあります。
常に最新の情報で監視
新たな脅威や、攻撃の予兆などを認識した上で、自動でアラート通知がされるので、早期に攻撃を発見し被害を最小限に抑えられます。
脅威の封じ込め
攻撃を受けたエンドポイントを隔離することで、感染拡大を抑え業務停止時間を短くできます。
インシデント発生時の調査
インシデントが発生した際に、検知ログの内容から過去に遡ってその根本原因を探り、対処することができます。
マネージドセキュリティサービス for EDRとは?
EDR運用時のこんな課題を解決・サポートします!
- リモートワークで生じるセキュリティリスクに対応したい
- すでにMDEを導入しているが、どう活用してよいか分からない
- 次々と出てくる新たな脅威に対して、リアルタイムかつ迅速に対応したい
- セキュリティ運用監視の代行を依頼したい
マネージドセキュリティサービス for EDRは、お客様環境のエンドポイントを24時間365日リアルタイムで監視し、不審な動作や挙動を通知し、セキュリティアナリストの知見を活かしてログの分析を行い重大なセキュリティインシデントからお客様の情報資産を守ります。
クレスコでは、マイクロソフトの EDR 製品であるMicrosoft Defender for Endpoint(以下、MDE)を利用したエンドポイントの監視を行います。
クレスコでは、マイクロソフトの EDR 製品であるMicrosoft Defender for Endpoint(以下、MDE)を利用したエンドポイントの監視を行います。
マネージドセキュリティサービス for EDRで実現できること
①アラート
インシデント検出
インシデント検出
②アラート
インシデント分析
インシデント分析
③チューニング作業
④エンドポイントの
論理的な隔離
論理的な隔離
①アラート/インシデント通知
MEDのアラートには4種類あり、危険度の高い「高・中・低」については、通常は検知後に自動で通知されますが、当サービスでは「高」の時に通知されるように設定致します。
検知後にはMDEの自動調査が走り、「悪意ある挙動」と判定された場合、そのプロセスを停止し検出されたファイルが検疫されます。
また、SOCでもアラートの解析を行い、重要アラートと判定したものついては、MDEから発報された自動アラートメールに引用する形で、お客様へ通知いたします。
検知後にはMDEの自動調査が走り、「悪意ある挙動」と判定された場合、そのプロセスを停止し検出されたファイルが検疫されます。
また、SOCでもアラートの解析を行い、重要アラートと判定したものついては、MDEから発報された自動アラートメールに引用する形で、お客様へ通知いたします。
②アラート/インシデント分析
アラートの通知後、お客様と連携しながら分析対象か否かを判断いたします。 分析が必要となった場合には、セキュリティアナリストが分析を行い、分析結果について以下の内容をメールでご報告いたします。
- アラートの内容及び調査結果
- MITRE ATT&CK の戦術カテゴリへの該当有無
- 推奨事項
- その他補足情報
③チューニング作業
挙動(行動ログ)をベースにした検知抑制を実施
お客様からの依頼をベースとして、検知されたアラートを基に検知抑制を行います。
アラート発報の許可/不許可の適用作業
お客様からの依頼をベースとして、ファイルハッシュ/IPアドレス/URL・ドメイン/証明書単位で、アラートとして検知させる許可(Allow)/不許可(Deny)の設定作業を実施します。
お客様からの依頼をベースとして、検知されたアラートを基に検知抑制を行います。
アラート発報の許可/不許可の適用作業
お客様からの依頼をベースとして、ファイルハッシュ/IPアドレス/URL・ドメイン/証明書単位で、アラートとして検知させる許可(Allow)/不許可(Deny)の設定作業を実施します。
④エンドポイントの論理的な隔離
ネットワークからの論理的な隔離
お客様の依頼や事前の取り決め(手順書)に基づいて、リモートから管理デバイスをネットワークから隔離することが可能です。
隔離実施後の調査
論理的な隔離実施後も、MDE⇔エージェント間の通信は保たれているため、継続しての調査が可能です。また、調査後のネットワークへの復帰も実施できます。
お客様の依頼や事前の取り決め(手順書)に基づいて、リモートから管理デバイスをネットワークから隔離することが可能です。
隔離実施後の調査
論理的な隔離実施後も、MDE⇔エージェント間の通信は保たれているため、継続しての調査が可能です。また、調査後のネットワークへの復帰も実施できます。
サービス概要
|
名称 |
マネージドセキュリティ サービス for EDR |
|---|---|
| 対象の製品 |
Microsoft Defender for Endpoint
|
|
サービス ご提供内容 |
|
|
コミュニケーション 手段 |
メール:日本語・英語 |
| サービス提供時間 |
24時間/365日 |
プランや価格など、詳細を掲載した資料を公開しています。
関連ソリューション
マネージドセキュリティサービス for SIEM
セキュリティアナリストの知見を活かして、SIEMの運用を代行・サポートし、お客様の情報資産を守ります。
マネージドセキュリティサービス for EDR
リーフレット、サービス紹介資料をご覧いただけます。
ご不明点はお気軽にお問い合わせください。
ご不明点はお気軽にお問い合わせください。
© 2023 CRESCO LTD.