VMware Carbon Black Q&A
「VMware Carbon Black Cloud」は、ビッグデータ解析でサイバー攻撃を検知・防御するNGAV機能と、端末で発生したあらゆる事象を可視化するEDR機能によって、エンドポイントを保護するセキュリティソリューションです。
本ページでは、VMware Carbon BlackについてのQ&Aをご紹介します。
評価版について
- 製品の検討にあたり、評価版を利用することはできますか?
-
Carbon Black製品の導入前にPoC(Proof of Concept:概念実証)を実施いただけます。ネットワールドでは、短期間でも必要な項目を検証できるようさまざまな支援を行っています。詳細はこちらをご確認ください。
購入について
- 製品の導入を検討しているのですが、製品の詳細を訪問して説明いただけますか?
-
はい、可能です。ページ最下部のお問い合わせボタンにてお問合せください。
- 製品の価格や導入費用について知りたいのですが、価格表はありますか?
-
製品の価格や導入費用につきましては公開しておりません。お手数ですが、ネットワールドもしくはお取引のある販売会社様へお問い合わせください。
VMware Carbon Blackについて
- センサーがサポートするOSを教えてください。
-
VMware Carbon Black ラインナップにて公開しております。
- 製品の操作マニュアルを、サイトからダウンロードすることはできますか?
-
管理コンソールにてリンクがございますので、PoC等で管理コンソールが利用可能なお客様は、VMware Docsよりダウンロードが可能になります。
技術的なご質問
- ログをクラウドへ送信をする際の1クライアントあたりの通信帯域を教えてください。
-
通信量 は10~15MB程度/日/エンドポイントです。
- ログのクラウドへの送信頻度を教えてください。
-
アクティビティの送信通信は3~5分以内に1回程度となります。
- PCリソースを教えてください。
-
最低リソース使用量は環境によって異なります。
こちらよりご確認ください。 - WindowsとMacでPCにインストールするソフトウェアは異なりますでしょうか?
-
OSが異なりますので違うファイルになります。
- インターネット非接続端末があるのですが、それらはどのようにしてクラウド接続して管理できますか?※中間サーバなどがあるかなどを教えてください。
-
全くインターネット環境に出られない端末をクラウドに接続して管理する方法は現状ありません。(中間サーバの機能はありますが、これはシグニチャ配信のアップデートストリームを軽減するための役割にとどまります。ポリシー情報や端末情報を中間サーバ経由でクラウド接続して管理することはできません。)
インストール時のみインターネットに接続できるようであれば「オンライン状態でセンサーをインストール→シグニチャを個別で適用→オフラインのまま運用」することでシグニチャによる保護は可能です。
ただこの場合もクラウドとの接続はないので、ログの収集やポリシーの変更は実施できません。 - 検知、防御はどこで行っているのでしょうか?
-
検知はクラウド、防御は端末に設定するセンサーのポリシーによって実行されます。
- 既知マルウェアの自動削除について教えてください。
-
ポリシーで自動削除を有効化し、発見から削除までの猶予期間(最短一日)を設定します。
既知マルウェアを検知した後、猶予期間が経過すると自動で削除されます。 - ランサムウェアにも効果がありますか?また、対策機能は搭載されているか教えてください。
-
ランサムウェアに特化した、以下の防御技術が提供されています。
1. Canary File (おとりファイル)
・ おとりのファイルを仕込み、ファイルへの不審な動作を検知したら瞬時にプロセスを切る
・ ファイルの名称、保存場所はCarbon BlackのThreat Intelligence Teamによって決定
・ 継続的な脅威調査により、情報は定期的に変更
2. Shadow-file 防御
・ シャドーコピーを操作するアプリケーションやユティリティを常時監視
・ コマンドラインにより、これらユティリティを実行させ、シャドーコピーを破壊するプロセスを検知、ある条件に合致したら、プロセスを切る
3. MBR防御
・ Master Boot Recordがあるディスク領域への書き込みを常時監視、防御
・ シグネチャーやレピュテーション等に依存せず、オフライン環境でも有効 - WEBブラウザで端末から不正なURLに接続した場合、遮断してくれますか?
-
明示的なURLフィルタの機能はありませんが、偽装サイトにアクセスした時に、マルウェアや非マルウェア攻撃に繋がるファイル等をダウンロードすることも多く、その場合は攻撃が始まったタイミングで 検知・防御します。
- 管理コンソールで表示される情報をエクスポートできますか?
-
ダッシュボードで表示される情報はCSV形式でエクスポートすることができます。
また、Carbon Blackが脅威として検知したログについては,APIを使ってSplunkなどのSIEMに送信することができます。 - クラウドにアップロードされるのはどのような情報ですか?
-
ホスト名、IPアドレス、OSエディションなどの端末情報、ハッシュ値、電子署名などのファイル情報、ユーザー名、プロセス間通信の情報、実行バイナリファイルの情報などがクラウドにアップロードされます。
- ID/パスワード認証以外に管理サーバへのアクセスを制限する方法は存在しますでしょうか?
-
DUO Security / Google認証システムを利用した2段階認証の設定が可能です。
また、外部のSAMLサービスを利用してコンソールのサインインを行い、SSOを実現する機能がございます。 - 管理サーバの操作はロールベースでユーザ毎に権限を設定できますか?
-
はい、可能です。
- ネットワークへの影響は少ないとのことですが、万が一のときに調整する機能などはありますか?
-
明示的にリソースを調節できる設定項目はございませんが、各種ポリシーの設定項目を変更することで、少しでもリソースを消費しないように調節する事が可能と考えます。