MDRサービスについて〜VMware Carbon Black Cloudのセキュリティ運用を支援〜

24時間365日体制でセキュリティ運用を支援する
「DH-MDRサービス for VMware Carbon Black」

ネットワールドがAGEST社との協業で提供する「DH-MDRサービス for VMware Carbon Black」は、EDR製品特有の運用負荷を大幅に軽減します。インシデント発生時には監視チームによる迅速な初期対応および再発防止支援で被害を最小限に抑え、お客様のEDR運用体制を支えるセキュリティサービスです。

「EDR × MDRサービス」ホワイトペーパー公開中
ダウンロードはこちらから

MDRサービスについて〜VMware Carbon Black Cloudのセキュリティ運用を支援〜

MDRとは「Managed Detection & Response」の略称で、お客様のセキュリティ製品の監視や対応といった運用業務を、外部の専門セキュリティチームが支援するサービスです。EDR製品にMDRサービスを組み合わせることで、日々のアラート監視や潜在的なリスク調査といったEDR運用の負荷が大幅に軽減されます。インシデント発生時にはMDRサービスが迅速な初動対応や脅威の封じ込めを実行・支援するため、セキュリティ被害を最小限に抑えることが可能です。

ネットワールドがAGEST社との協業で提供する「DH-MDRサービス for VMware Carbon Black」は、24時間365日体制でVMware Carbon Black Cloud製品の運用を支援するMDRサービスを提供します。VMware Carbon Black Cloudの高度な機能でセキュリティ対策を強化したい一方で、自社人員だけでは運用面に不安を抱えるお客様に最適なソリューションです。

この記事では、「DH-MDRサービス for VMware Carbon Black」のサービス内容についてご紹介します。

目次

「DH-MDRサービス for VMware Carbon Black」サービス概要

「DH-MDRサービス for VMware Carbon Black」は、通常時のお客様による製品運用をほぼ不要とする運用代行・MDRサービスです。

高度な専門知識と業務経験を有するアナリストチーム(DH-SOC)が24時間365日体制でアラートの常時監視を行い、インシデント発生時は初期対応に必要な情報をアラート受信後60分以内にお客様に通知します。また、端末隔離やマルウェア除去などの脅威除去支援、その後の再発防止支援までを一貫して対応する他、VMware Carbon Blackに搭載された機能を活用して潜在的なリスクへの事前対応もサポートします。

「DH-MDRサービス for VMware Carbon Black」のインシデント対応フロー
ほとんどのインシデント対応フローをアナリストチーム(DH-SOC)が実行。お客様の運用負荷を大きく削減

DH-MDRサービスのサポート受付時間

サポート窓口は24時間365日体制で対応します。アラートに関するご連絡や月次レポートのご提供方法は、「メール」「電話」「Slack」「Teams」など、お客様が希望するコミュニケーション手段をお選びいただけます。

サービス提供価格やお見積もりについて

MDRサービスの対象となる「VMware Carbon Black Cloud」 で保護された端末台数に応じたサービス価格となっています。DH-MDRサービスの詳細説明やお見積り希望については、以下ページからお気軽にお問い合わせください。

豊富なEDR機能をフル活用!DH-MDRサービスの3つの特徴

1.分かりやすいレポートで、的確な初期対応や脅威除去をサポート

DH-MDRサービスでは、VMware Carbon Black からのアラート受信後60分以内に「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」「隔離が必要かどうか」を分かりやすくまとめた一次レポートを提供し、的確な初期対応を支援いたします。 また、遠隔にて問題のエンドポイントをネットワークから隔離し、被害の拡大を抑止することも可能です。

また、アラート受信の翌営業日以内には、詳細についてまとめた二次レポートを提供します。二次レポートには、攻撃者集団や手法の特定、改変されたレジストリやファイルの情報、アラート発生箇所以外での横展開の有無、再度同様の攻撃を受けないために必要な施策など、脅威除去や回復作業に必要な情報を提供します。

某セキュリティベンダーの調査では、攻撃者が初めに侵害したシステムからネットワーク内の他のシステムを侵害するまでの平均時間は「92分」という結果が出ました。DH-MDRサービスでは60分以内に端末隔離などの対応を行うため、感染拡大や深刻なセキュリティ被害の発生防止に貢献します。

2.予防的対応および環境調査で、潜在的なリスクにも対応

DH-MDRサービスでは、高度な専門知識を持つアナリストが情報を確認・優先付けした「ITハイジーン情報」の提供や、外部インテリジェンスを活用した「脅威ハンティング」「デジタルリスクの監視」を行います。

潜伏する脅威やリスクがアラートとして顕在化する前に予防対応することで、実被害の発生を未然に防ぐプロアクティブなセキュリティ運用をサポートします。

対応するサービスメニューサービス提供概要対応概要
・ITハイジーン
・デジタルリスクの監視
組織内で確認された脆弱性情報を提供
より汎用的な抑止施策の検討をサポート
脆弱性などに対する変更作業を実施し、
攻撃手段を封じて脅威の侵入を事前に抑止
・脅威ハンティング
・脅威除去支援
・回復支援
アラート化されていない脅威を検出して情報を提供
脅威に対する除去支援や回復支援
セキュリティ侵害インジケーター(IOC)を使い、
潜んでいる脅威の攻撃開始前に除去
検知したアラートだけでなく、潜在的なリスクにも対応

3.お客様の運用体制に合わせた柔軟なルール設定

DH-MDRサービスの運用ルールは、VMware Carbon Black のポリシーごとに指定が可能です。連絡先や即時隔離の有無、レポートの言語など、お客様の運用体制に応じた柔軟な運用ルールで対応します。

また、運用開始後のルール変更や連絡先変更も、回数無制限で随時対応します。

DH-MDRサービスで提供されるサービスメニュー

アラート解析

アラートの危険度判定と
早期対応に必要な情報提供

脅威の封じ込め

マルウェア感染した端末の
ネットワークを隔離

脅威除去支援

マルウェアの駆除など
残存する脅威の除去

回復支援

セキュリティパッチなど
再発抑止の情報提供

脅威ハンティング

侵入・潜伏している
未検知の脅威を検出

ITハイジーン

脆弱性の存在を調査
※CB-Advanced以上のみ

デジタルリスクの監視

ダークウェブを含むWebから
リスクのある検索結果を報告

月次レポート

DH-MDRの活動内容について
報告レポートを月1回提供

各サービスメニューの詳細

アラート解析

24時間365日体制で、VMware Carbon Black から受信したアラートに関するインシデントのログを解析・報告します。危険度はVMware Carbon Black製品上の評価に加えて、DH-SOCが脅威活動情報を挙動も含め4種類に分類し、危険度に応じて電話やメール等でお客様にお知らせいたします。

危険度DH-SOC対応通知お客様側対応
・電話及びメールでの通知
・解析レポート提出(一次・二次)
・ネットワーク隔離の実施
・当該エンドポイントの調査、マルウェア除去など
・ネットワーク隔離解除の実施
アラート受信後60分以内
・電話/メール (一次レポート)

アラート受信の翌営業日以内
・メール (二次レポート)
・解析レポートの確認
・対応完了時の隔離解除承認
・メールでの通知
・解析レポート提出(一次・二次)
・当該エンドポイントの調査、マルウェア除去など
アラート受信後60分以内
・メール (一次レポート)

アラート受信の翌営業日以内
・メール (二次レポート)
・解析レポートの確認
なし(継続監視)ポータルサイト/月次レポートなし
過検知ホワイトリスト登録ポータルサイト/月次レポートなし

脅威の封じ込め

VMware Carbon Blackの隔離機能を用いて端末を隔離し、ネットワークへのアクセスを遮断して被害拡大を防ぎます。隔離が必要かどうかの判断はDH-SOCが行います。実際の隔離実施前にお客様の承認を必要とされるかどうかは、MDRの運用ルールで選択可能です。

脅威除去支援

アラートの原因となったマルウェア本体だけでなく、アラート発生端末以外の横展開で感染拡大した端末についても調査・対応を行います。VMware Carbon Blackの機能で対応できないものに関しては、除去対象や手順の情報を提供いたします。

除去対応例

  • プロセス停止 :実行中の不正なプロセスをリモートで停止
  • レジストリ修正:不正なレジストリ改変に対して、リモートで修正
  • ファイル削除 :追加された不正なファイルをリモートで削除

回復支援

アラート解で特定された脅威に対して、同様の攻撃の再発を抑止するための施策を支援します。お客様のネットワーク環境全体を俯瞰的に見た上で、VMware Carbon Black製品における再発防止策だけでなく、UTMなど周辺のセキュリティ製品での再発防止策も含めた提案を行います。

抑止策例

  • ファイルハッシュ値のブラックリスト登録
    • 脅威ファイルのハッシュ値をブラックリスト登録
    • 同一のマルウェアによる感染拡大および再侵入を抑止
  • 危険なURL/IPアドレスへの通信制御
    • ファイアウォールなどのセキュリティ製品での推奨対応に必要な情報を提供
    • マルウェアのダウンロード元サーバやC&CサーバのIPアドレスなどの通信を制御

脅威ハンティング

月次および日次(簡易)で、ハッカーの攻撃手口を参考にして組織内に侵入・潜伏している未検知の脅威を検出します。脅威ハンティングで検出した脅威は、その時点で影響範囲や攻撃動作を把握できているため、攻撃実行前に対応することが可能になります。

また、お客様が業界団体からの早期警戒情報など緊急情報を入手された場合や、VMware Carbon Black Cloud以外の他社製品(UTM、アンチウィルスなど)でアラートが発生した場合には、ご依頼に基づき回数無制限でエンドポイントの調査を実施します。

ITハイジーン (VMware Carbon Black Cloud Advancedエディション以上のみ)

VMware Carbon Black Cloudの「Vulnerabilities 機能」を利用して、セキュリティリスクのある設定や脆弱性の把握などに活用できる情報を月次レポートで提供します。

また、内容に関するDH-SOCのセキュリティアナリストへの相談や、対応内容によってはリモートでの実施サポートも可能です。

レポート内容例

  • 頻出の攻撃や話題となっている攻撃に利用される脆弱性のあるエンドポイント
  • 悪用されうるOS設定が適用されているエンドポイント
  • 脆弱性のあるソフトウェアバージョンを利用しているエンドポイント
【ITハイジーン レポートイメージ(月次レポート)】

デジタルリスクの監視

CYFIRMA社の脅威ディスカバリー&サイバーインテリジェンスプラットフォーム「DeCYFIR™」を活用し、ご登録いただいた組織でご利用のドメイン、IPアドレスおよび組織名や製品名等のキーワードについてダークウェブを含むWeb 情報を監視し、検出された脅威リスクを月次レポートで報告します。

【登録情報の監視レポートイメージ(月次レポート)】

外部情報やサービスとの連携により検索を行うため、DeCYFIRからお客様リソースに対するスキャン行為等は行いません。

登録情報監視概要
ドメイン脅威アクターが関連すると思われるなりすましドメインと、組織内からの通信有無情報を報告
ドメイン登録されたドメイン(sample.co.jp 等)につき、オープンポートと脆弱性情報を報告
IPアドレス外部公開された組織のIPアドレスにつき、オープンポートと脆弱性情報を報告
キーワード組織名や製品名、開発コード名などが、Dark Webを含む外部の情報内で検出された場合に報告

月次レポート

月次レポートイメージ

以下の情報を月次レポートとして、月1回提供します。

  • 1か月の検知・解析の実績サマリ
  • 脅威ハンティング実施結果
  • ITハイジーン
  • デジタルリスクの監視結果
  • 最新のセキュリティ関連情報

また、年4回を上限とした四半期分の月次レポートについて報告会を実施することも可能です。(オンサイト or Web会議)

MDRサービスに対応するVMware Carbon Black製品について

DH-MDRサービスは、「NAGV機能」+「EDR機能」を備えたVMware Carbon Black Cloud製品に対応しています。

VMware Carbon Black ライセンス製品概要DH-MDR 対応
VMware Carbon Black Cloud Endpoint StandardNGAV機能+EDR機能
VMware Carbon Black Cloud Endpoint AdvancedNGAV機能+EDR機能+ITハイジーン機能
VMware Carbon Black Cloud Endpoint EnterpriseNGAV機能+EDR機能+ITハイジーン機能
VMware Carbon Black Cloud Enterprise EDREDR機能のみ
VMware Carbon Black Cloud PreventionNGAV機能のみ
VMware Carbon Black EDR / VMware Carbon Black Hosted EDREDR機能のみ
VMware Carbon Black Cloud Workload EssentialsITハイジーン機能のみ
VMware Carbon Black Cloud Workload AdvancedNGAV機能+EDR機能+ITハイジーン機能
VMware Carbon Black Cloud Workload EnterpriseNGAV機能+EDR機能+ITハイジーン機能

VMware Carbon Black製品のラインナップ詳細については、以下の記事をご参照ください。

エディション毎の「脅威ハンティング」「ITハイジーン」提供サービスの違い

DH-MDRサービスで提供可能なサービス内容は、利用できるVMware Carbon Black Cloud の機能によって異なります。

DH-MDR サービス内容Carbon Black
Standard
(Endpoint)
Carbon Black
Advanced
(Endpoint/Workload)
Carbon Black
Enterprise
(Endpoint/Workload)
クラウド上の「過去のEDRログ」に対する脅威ハンティング実施結果を報告
「ウォッチリスト」機能による「リアルタイム」の脅威ハンティングを実施 (月1回)
「Vulnerabilities」機能による脆弱性の把握などITハイジーンの報告 (月1回)
目次