VMwareが提供するEDRソリューション「VMware Carbon Black Cloud」は、単一のエージェントとコンソールを使用して、複数のエンドポイントやワークロード、コンテナに対する保護機能を統合的に提供するセキュリティソリューションです。クラウドベースのアプローチによって、巧妙化するサイバー攻撃に対するセキュリティを強化できます。
本記事では、VMware Carbon Black Cloudのエンドポイントのセキュリティを更に強化するためのオプションサービスとして提供されている「VMware Carbon Black XDR」と「VMware Carbon Black Cloud Host-based Firewall」についてご紹介します。
2つのオプションサービス概要
「VMware Carbon Black XDR」は、VMware Carbon Black Cloud のセンサー経由でNDR機能を提供することで、エンドポイントだけでなくネットワーク側のイベントを含めた検知・対応を実現するオプションサービスで、脅威に対する全体的な視点を提供します。
「VMware Carbon Black Cloud Host-based Firewall」は、VMware Carbon Black CloudからWindows Defender ファイアウォールを管理することができるオプションサービスで、個々のデバイスが持っているセキュリティ機能を効率的に管理することが可能になります。
どちらのサービスも、EDR&NGAVを提供する「VMware Carbon Black Cloud」にアドオンして利用する形となります。
VMware Carbon Black XDR
VMware Carbon Black XDRは、VMware Carbon Blackのセンサー機能を拡張してネットワーク検知および可視化の能力を追加するアドオンサービスです。この拡張により、エンドポイントだけでなくネットワークの詳細な痕跡情報も取得できるため、EDRとNDRを連携させる「XDR」を実現し、攻撃の初期から後半にかけての不正行為の検知やインシデント対応時間を大幅に短縮することができます。
VMware Carbon Black XDRの特長は、「ネイティブXDR」ソリューションとしての位置づけにあります。VMwareはエンドポイント保護の「VMware Carbon Black Cloud」、ネットワーク仮想化の「NSX」、ハイブリッドクラウド構築の「VMware Cloud」など、多様なソリューションを提供しています。これらの製品が密接に連携することで、サードパーティ製品との煩雑な統合を必要としない、効率的なXDRを実現できます。
- VMware Carbon Black Cloudのセンサーに NDR機能を追加
- EDR+NDRでラテラルセキュリティの実現を強力に支援
- 社外に存在する端末のネットワーク行動も監視が可能
- VMware Carbon Black Cloud EndpointのEnterpriseエディション、
もしくはVMware Carbon Black Cloud Enterprise EDRにアドオンして利用可能
「XDR」の概要と、「EDR」との違い
XDR(Extended Detection and Response)は、エンドポイントやワークロード、ユーザー、ネットワークを含む多岐にわたるセキュリティの先進的なソリューションとして位置づけられています。環境全体のあらゆる角度からの包括的な可視性を持ち、関連するアラートをフレームワークに基づいて整理することで、優先度の高い重要な情報を迅速に特定します。
XDRはEDRの進化形とも言われています。エンドポイントセキュリティに特化したEDRと比較すると、XDRはその範囲をエンドポイントだけでなく、ネットワークトラフィック全体に拡大しているのが特徴です。
VMware Carbon Black XDRによるネットワークイベントの確認イメージ
VMware Carbon Black Cloud環境にVMware Carbon Black XDRを追加することで、IDS(侵入検知システム)やネットワークトラフィック分析(NTA)の機能が利用可能になり、ネットワークイベントに関する詳細情報を確認できるようになります。リモートワーク端末など、社外ネットワークに接続された端末のネットワークアクティビティの監視も可能です。
VMware Carbon Black Cloudの管理コンソールでのアラート確認
IDSでは、ネットワークトラフィックの監視、データの移動追跡、ネットワークパケットのキャプチャと分析、異常なネットワークトラフィックの特定といった機能が提供されます。これらの情報はEDRログと同様にVMware Carbon Black Cloudの管理コンソールから確認できます。
IDSアラートの詳細情報の確認
アラートの詳細画面を開くと、脅威の内容、関連するシグネチャ、MITRE ATT&CKの戦略や技術、ネットワーク通信の詳細を確認することができます。
プロセスツリーによる全体把握とインシデント対応
EDR関連アラートと同じく、IDS関連アラートもプロセスツリーで表示することができ、端末隔離やLive Response(リモート操作)といったインシデントレスポンスが実行可能です。
VMware Carbon Black XDRの購入方法
VMware Carbon Black XDRの利用には、Carbon Black Cloud EndpointのEnterpriseエディション、もしくはVMware Carbon Black Cloud Enterprise EDRが必要です。ライセンスの購入単位は「端末単位」のライセンスが用意されています。
| VMware Carbon Black XDRのアドオン可否 | |
|---|---|
| VMware Carbon Black Cloud Prevention | |
| VMware Carbon Black Cloud Endpoint Standard | |
| VMware Carbon Black Cloud Endpoint Advanced | |
| VMware Carbon Black Cloud Endpoint Enterprise | |
| VMware Carbon Black Cloud Enterprise EDR | |
| VMware Carbon Black Cloud Workload Essentials | |
| VMware Carbon Black Cloud Workload Advanced | |
| VMware Carbon Black Cloud Workload Enterprise | |
VMware Carbon Black Cloud Host-based Firewall
VMware Carbon Black Cloud Host-based Firewallは、エンドポイントやワークロードにおける攻撃の横展開を防止し、不審な動きを特定するためのVMwareCarbon Black Cloudのオプションサービスです。Windows端末に備わっている「Windows Defender ファイアウォール」を活用しており、「VMware Carbon Black Cloud Endpoint」および「VMware Carbon Black Cloud Workload」にアドオンして利用可能です。
VMware Carbon Black Cloud Host-based Firewallによって、エンドポイントおよびワークロード保護プラットフォームにファイアウォール管理機能を統合することが可能になり、特定の動作やデバイスに対する自動応答アクションを有効化するなど、端末に対する総合的なセキュリティ対策を強化することができます。
- VMware Carbon Black Cloudの Windowsセンサー Ver.3.9 以上で利用可能
- Windows Defender FWをVMware Carbon Black Cloudの管理コンソール上で制御
- ファイアウォールによるブロックのイベントはCB管理コンソールで アラートとして確認可能
- Windows OS のみ対応(Mac, Linux は未対応)
VMware Carbon Black CloudでWindows Defender ファイアウォールを管理
VMware Carbon Black Cloud Host-Based Firewallが有効になっている環境では、Carbon Black Cloudの管理コンソールから、Windows OSの標準機能であるWindows Defenderファイアウォールを効率的に制御することができます。既存のWindows Defender FWのルールが設定されている場合には、これらのルールをVMware Carbon Black Host-Based Firewallのファイアウォールで上書きする形でポリシー管理を行います。
VMware Carbon Black CloudとWindows Defender ファイアウォールの管理が一元化されることで、ファイアウォールのアラートとEDRログの関連性を合わせて分析することができます。ログ確認や変更作業が簡素化され、不要なノイズや誤検出を減少させる統合された予防ポリシーとファイアウォールルールを活用することで、管理工数の削減が実現します。
VMware Carbon Black Cloud Host-Based Firewallの2つのメリット
メリット①:インシデント対応工数の低減
VMware Carbon Black Cloud Host-based Firewallでは、エンドポイント全体のアプリケーションのネットワーク動作を一元的に管理することができます。ファイアウォールがブロックしたアクションのアラートは、コンソールで詳細を確認でき、他の脅威アラートとの関連性も一覧で確認できます。さらに、アラートが発生した端末に対して、隔離やLive Responseを使用した遠隔対応も可能で、インシデント対応の工数を削減することができます。
アラートの調査はプロセスツリーの視覚化を通じて直感的に行うことができます。アラート詳細からファイアウォールのルールにすぐにアクセスできるため、必要に応じたルール変更も迅速に行うことが可能です。また、VMware Carbon Black Cloudでは、「良性」と判断されたイベントもデフォルトで30日間保存されるため、過去のデータを検索して調査や確認を行うことができます。
メリット②:ポリシー管理の一元化
VMware Carbon Black Cloudの管理コンソールでは、全体のファイアウォールルールを一覧で表示することが可能です。特定の動作をブロックするルールの作成や、関連するアラートの生成を簡単に行うことができます。また、アプリケーションのネットワーク動作に対して、悪意のある動作をブロックするか、アラートとして通知するレスポンスアクションを設定することも可能です。
コンソール上では、プロトコル、方向、IPアドレス、ポートを指定してファイアウォールのポリシーを設定することができます。アクションとして「許可」「アラートのみ」「アラートおよびブロック」から選択が可能で、特定のアプリケーションに対する制御も実施できます。これにより、セキュリティ管理の工数が大幅に低減されます。
VMware Carbon Black Host-Based Firewallの購入方法
VMware Carbon Black Host-Based Firewallの利用には、VMwareCarbon Black Cloud EndpointのStandardエディション以上、もしくはVMware Carbon Black Cloud WorkloadのAdvancedエディション以上が必要です。ライセンスの購入単位は「端末単位」「CPU単位」 「Core 単位」のライセンスが用意されています。
| VMware Carbon Black Host-Based Firewallのアドオン可否 | |
|---|---|
| VMware Carbon Black Cloud Prevention | |
| VMware Carbon Black Cloud Endpoint Standard | |
| VMware Carbon Black Cloud Endpoint Advanced | |
| VMware Carbon Black Cloud Endpoint Enterprise | |
| VMware Carbon Black Cloud Enterprise EDR | |
| VMware Carbon Black Cloud Workload Essentials | |
| VMware Carbon Black Cloud Workload Advanced | |
| VMware Carbon Black Cloud Workload Enterprise | |