MDRサービスについて〜VMware Carbon Black Cloudのセキュリティ運用を支援〜

MDRとは「Managed Detection & Response」の略称で、お客様のセキュリティ製品の監視や対応といった運用業務を、外部の専門セキュリティチームが支援するサービスです。EDR製品にMDRサービスを組み合わせることで、日々のアラート監視や潜在的なリスク調査といったEDR運用の負荷が大幅に軽減されます。インシデント発生時にはMDRサービスが迅速な初動対応や脅威の封じ込めを実行・支援するため、セキュリティ被害を最小限に抑えることが可能です。

ネットワールドがAGEST社との協業で提供する「DH-MDRサービス for VMware Carbon Black」は、24時間365日体制でVMware Carbon Black Cloud製品の運用を支援するMDRサービスを提供します。VMware Carbon Black Cloudの高度な機能でセキュリティ対策を強化したい一方で、自社人員だけでは運用面に不安を抱えるお客様に最適なソリューションです。

この記事では、「DH-MDRサービス for VMware Carbon Black」のサービス内容についてご紹介します。

「DH-MDRサービス for VMware Carbon Black」サービス概要

「DH-MDRサービス for VMware Carbon Black」は、通常時のお客様による製品運用をほぼ不要とする運用代行・MDRサービスです。

高度な専門知識と業務経験を有するアナリストチーム(DH-SOC)が24時間365日体制でアラートの常時監視を行い、インシデント発生時は初期対応に必要な情報をアラート受信後60分以内にお客様に通知します。また、端末隔離やマルウェア除去などの脅威除去支援、その後の再発防止支援までを一貫して対応する他、VMware Carbon Blackに搭載された機能を活用して潜在的なリスクへの事前対応もサポートします。

DH-MDRサービスのサポート受付時間

サポート窓口は24時間365日体制で対応します。アラートに関するご連絡や月次レポートのご提供方法は、「メール」「電話」「Slack」「Teams」など、お客様が希望するコミュニケーション手段をお選びいただけます。

サービス提供価格やお見積もりについて

MDRサービスの対象となる「VMware Carbon Black Cloud」 で保護された端末台数に応じたサービス価格となっています。DH-MDRサービスの詳細説明やお見積り希望については、以下ページからお気軽にお問い合わせください。

豊富なEDR機能をフル活用！DH-MDRサービスの3つの特徴

1.分かりやすいレポートで、的確な初期対応や脅威除去をサポート

DH-MDRサービスでは、VMware Carbon Black からのアラート受信後60分以内に「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」「隔離が必要かどうか」を分かりやすくまとめた一次レポートを提供し、的確な初期対応を支援いたします。 また、遠隔にて問題のエンドポイントをネットワークから隔離し、被害の拡大を抑止することも可能です。

また、アラート受信の翌営業日以内には、詳細についてまとめた二次レポートを提供します。二次レポートには、攻撃者集団や手法の特定、改変されたレジストリやファイルの情報、アラート発生箇所以外での横展開の有無、再度同様の攻撃を受けないために必要な施策など、脅威除去や回復作業に必要な情報を提供します。

某セキュリティベンダーの調査では、攻撃者が初めに侵害したシステムからネットワーク内の他のシステムを侵害するまでの平均時間は「92分」という結果が出ました。DH-MDRサービスでは60分以内に端末隔離などの対応を行うため、感染拡大や深刻なセキュリティ被害の発生防止に貢献します。

2.予防的対応および環境調査で、潜在的なリスクにも対応

DH-MDRサービスでは、高度な専門知識を持つアナリストが情報を確認・優先付けした「ITハイジーン情報」の提供や、外部インテリジェンスを活用した「脅威ハンティング」「デジタルリスクの監視」を行います。

潜伏する脅威やリスクがアラートとして顕在化する前に予防対応することで、実被害の発生を未然に防ぐプロアクティブなセキュリティ運用をサポートします。

対応するサービスメニュー	サービス提供概要	対応概要
・ITハイジーン ・デジタルリスクの監視	組織内で確認された脆弱性情報を提供 より汎用的な抑止施策の検討をサポート	脆弱性などに対する変更作業を実施し、 攻撃手段を封じて脅威の侵入を事前に抑止
・脅威ハンティング ・脅威除去支援 ・回復支援	アラート化されていない脅威を検出して情報を提供 脅威に対する除去支援や回復支援	セキュリティ侵害インジケーター(IOC)を使い、 潜んでいる脅威の攻撃開始前に除去

3.お客様の運用体制に合わせた柔軟なルール設定

DH-MDRサービスの運用ルールは、VMware Carbon Black のポリシーごとに指定が可能です。連絡先や即時隔離の有無、レポートの言語など、お客様の運用体制に応じた柔軟な運用ルールで対応します。

また、運用開始後のルール変更や連絡先変更も、回数無制限で随時対応します。

DH-MDRサービスで提供されるサービスメニュー

各サービスメニューの詳細

アラート解析

24時間365日体制で、VMware Carbon Black から受信したアラートに関するインシデントのログを解析・報告します。危険度はVMware Carbon Black製品上の評価に加えて、DH-SOCが脅威活動情報を挙動も含め4種類に分類し、危険度に応じて電話やメール等でお客様にお知らせいたします。

危険度	DH-SOC対応	通知	お客様側対応
高	・電話及びメールでの通知 ・解析レポート提出（一次・二次） ・ネットワーク隔離の実施 ・当該エンドポイントの調査、マルウェア除去など ・ネットワーク隔離解除の実施	アラート受信後60分以内 ・電話/メール (一次レポート) アラート受信の翌営業日以内 ・メール (二次レポート)	・解析レポートの確認 ・対応完了時の隔離解除承認
中	・メールでの通知 ・解析レポート提出（一次・二次） ・当該エンドポイントの調査、マルウェア除去など	アラート受信後60分以内 ・メール (一次レポート) アラート受信の翌営業日以内 ・メール (二次レポート)	・解析レポートの確認
低	なし（継続監視）	ポータルサイト/月次レポート	なし
過検知	ホワイトリスト登録	ポータルサイト/月次レポート	なし

脅威の封じ込め

VMware Carbon Blackの隔離機能を用いて端末を隔離し、ネットワークへのアクセスを遮断して被害拡大を防ぎます。隔離が必要かどうかの判断はDH-SOCが行います。実際の隔離実施前にお客様の承認を必要とされるかどうかは、MDRの運用ルールで選択可能です。

脅威除去支援

アラートの原因となったマルウェア本体だけでなく、アラート発生端末以外の横展開で感染拡大した端末についても調査・対応を行います。VMware Carbon Blackの機能で対応できないものに関しては、除去対象や手順の情報を提供いたします。

除去対応例

• プロセス停止 ：実行中の不正なプロセスをリモートで停止
• レジストリ修正：不正なレジストリ改変に対して、リモートで修正
• ファイル削除 ：追加された不正なファイルをリモートで削除

回復支援

アラート解で特定された脅威に対して、同様の攻撃の再発を抑止するための施策を支援します。お客様のネットワーク環境全体を俯瞰的に見た上で、VMware Carbon Black製品における再発防止策だけでなく、UTMなど周辺のセキュリティ製品での再発防止策も含めた提案を行います。

抑止策例

• ファイルハッシュ値のブラックリスト登録
  • 脅威ファイルのハッシュ値をブラックリスト登録
  • 同一のマルウェアによる感染拡大および再侵入を抑止

• 危険なURL/IPアドレスへの通信制御
  • ファイアウォールなどのセキュリティ製品での推奨対応に必要な情報を提供
  • マルウェアのダウンロード元サーバやC&CサーバのIPアドレスなどの通信を制御

脅威ハンティング

月次および日次(簡易)で、ハッカーの攻撃手口を参考にして組織内に侵入・潜伏している未検知の脅威を検出します。脅威ハンティングで検出した脅威は、その時点で影響範囲や攻撃動作を把握できているため、攻撃実行前に対応することが可能になります。

また、お客様が業界団体からの早期警戒情報など緊急情報を入手された場合や、VMware Carbon Black Cloud以外の他社製品(UTM、アンチウィルスなど)でアラートが発生した場合には、ご依頼に基づき回数無制限でエンドポイントの調査を実施します。

ITハイジーン (VMware Carbon Black Cloud Advancedエディション以上のみ)

デジタルリスクの監視

CYFIRMA社の脅威ディスカバリー＆サイバーインテリジェンスプラットフォーム「DeCYFIR™」を活用し、ご登録いただいた組織でご利用のドメイン、IPアドレスおよび組織名や製品名等のキーワードについてダークウェブを含むWeb 情報を監視し、検出された脅威リスクを月次レポートで報告します。

外部情報やサービスとの連携により検索を行うため、DeCYFIRからお客様リソースに対するスキャン行為等は行いません。

登録情報	監視概要
ドメイン	脅威アクターが関連すると思われるなりすましドメインと、組織内からの通信有無情報を報告
ドメイン	登録されたドメイン(sample.co.jp 等)につき、オープンポートと脆弱性情報を報告
IPアドレス	外部公開された組織のIPアドレスにつき、オープンポートと脆弱性情報を報告
キーワード	組織名や製品名、開発コード名などが、Dark Webを含む外部の情報内で検出された場合に報告

月次レポート

MDRサービスに対応するVMware Carbon Black製品について

DH-MDRサービスは、「NAGV機能」+「EDR機能」を備えたVMware Carbon Black Cloud製品に対応しています。

VMware Carbon Black ライセンス	製品概要	DH-MDR 対応
VMware Carbon Black Cloud Endpoint Standard	NGAV機能+EDR機能
VMware Carbon Black Cloud Endpoint Advanced	NGAV機能+EDR機能+ITハイジーン機能
VMware Carbon Black Cloud Endpoint Enterprise	NGAV機能+EDR機能+ITハイジーン機能
VMware Carbon Black Cloud Enterprise EDR	EDR機能のみ
VMware Carbon Black Cloud Prevention	NGAV機能のみ
VMware Carbon Black EDR / VMware Carbon Black Hosted EDR	EDR機能のみ
VMware Carbon Black Cloud Workload Essentials	ITハイジーン機能のみ
VMware Carbon Black Cloud Workload Advanced	NGAV機能+EDR機能+ITハイジーン機能
VMware Carbon Black Cloud Workload Enterprise	NGAV機能+EDR機能+ITハイジーン機能

VMware Carbon Black製品のラインナップ詳細については、以下の記事をご参照ください。

エディション毎の「脅威ハンティング」「ITハイジーン」提供サービスの違い

DH-MDRサービスで提供可能なサービス内容は、利用できるVMware Carbon Black Cloud の機能によって異なります。

DH-MDR サービス内容	Carbon Black Standard (Endpoint)	Carbon Black Advanced (Endpoint/Workload)	Carbon Black Enterprise (Endpoint/Workload)
クラウド上の「過去のEDRログ」に対する脅威ハンティング実施結果を報告
「ウォッチリスト」機能による「リアルタイム」の脅威ハンティングを実施 (月1回)
「Vulnerabilities」機能による脆弱性の把握などITハイジーンの報告 (月1回)

VMware Carbon Black Cloud の運用のご相談なら、豊富な実績を持つネットワールドまで！

ネットワールドがAGEST社との協業で提供する「DH-MDRサービス for VMware Carbon Black」は、24時間365日体制でVMware Carbon Black Cloud製品の運用を支援するMDRサービスです。EDR製品の有効活用には運用体制が非常に重要であり、「自社人員だけでは運用リソースが足りない」「運用を外部にアウトソースしたい」といったニーズをお持ちのお客様に最適なソリューションとなっています。

「VMware Carbon Black Cloud」のMDRサービスのご検討やお見積り依頼、製品選定や構築を含めたご相談については、Carbon Black案件で豊富な実績を持つネットワールドに是非お任せください。

お問い合わせは下記フォーム、もしくは弊社の営業担当者までご連絡ください。