【製品紹介】VMware Carbon Black

〈NWマーケティング部解説〉次世代型サイバー攻撃はVMware Carbon Blackでブロック!

〈NWマーケティング部解説〉次世代型サイバー攻撃はVMware Carbon Blackでブロック!

サイバー攻撃の基本プロセスのすべてに対応

VMware Carbon Black Cloud の最もベーシックな製品となるのがEndpoint Standardです。「侵入→基盤構築→調査拡散→目的遂行」という流れをとるサイバー攻撃の基本プロセスのすべてに対応します。

侵入」を防ぐ

まず、可能な限り「侵入」を防ぐため、エンドポイント保護プラットフォームであるEPPソリューション(次世代アンチウイルス)を提供します。

しかし、シグネチャをベースとした従来のパターンマッチングでは、そこをすり抜けてくる亜種や未知のマルウェアをブロックできません

そこでVMware Carbon Black Cloudの次世代アンチウイルス機能は、ビッグデータに独自技術のストリーミング分析を加え、マルウェアのみならず非マルウェアについても検知・防御が可能になります。

ストリーミング分析

従来のシグネチャあるいは機械学習による侵入対策は“”による防御を行っていましたが、これに対し、ストリーミング分析は、サイバー攻撃の一連の流れを検査して“”で防御するイメージとなります。

サイバー攻撃の「目的遂行」をEDRで防御

ですが、次世代アンチウイルス機能とはいえ、すべてのマルウェア攻撃や非マルウェア攻撃を完全にブロックすることは困難です。そのため、侵入を前提として「目的遂行」防御する必要があります。この役割を担うのがEDRソリューションです。

VMware Carbon Black Cloud のEDRソリューションは、攻撃の疑いのあるアクティビティを過去にさかのぼり調査します。この結果を基に管理者は、リモートからマルウェアの駆除や端末の隔離を行うことが可能になります。さらに攻撃の被害や拡散状況をすべてのエンドポイントを対象として調査し、報告します。

万が一、重要システムに侵入されてしまった場合…

対応が後手になるほど情報漏えいのリスクが高まり、顧客からの信頼も失墜し、企業は存続不可能に陥ってしまう可能性もあります。このリスクに対して自社が「どのような対策をとり、安全性を回復したのか」といったエビデンスを示せるようにするためにもEDRが注目されています。

感染端末の論理隔離から追加情報の取得・修復の一連対策!

マルウェア感染した端末を特定し、リモートから論理的に隔離し、詳細な調査を行った上で証拠を保全し、クリーンアップするまでの一連の対策を支援することができる、「Live Response」というツールもEndpoint Standardにて標準で含まれています。

Live Responseのご利用例

  • 調査のための追加情報取得
  • マルウェアリムーバ/クリーナーの実行
  • プロセスやメモリ情報の取得
  • レジストリの参照や変更
  • ファイルのアップロード・ダウンロード・削除
  • 任意のプログラムの実行

その他多数のアクションが可能です。

エンドポイントの「現在」を可視化&リアルタイム検索

VMware Carbon Black Cloudは、お客様のセキュリティ成熟度に応じた製品選択が可能です。Endpoint Standard のほか、Endpoint AdvancedEndpoint Enterpriseの3種類のバンドル製品があります。

Endpoint Advancedでは、「Live Query」というエンドポイントに対して複数パターンのクエリを実行し、そこに潜んでいる脅威を探し出すリアルタイム検索機能があります。実行したクエリの保存や再実行、結果のエクスポートを行うことができます。

リアルタイム検索の動作イメージ

Carbon BlackのEDRで調査後、明らかになった過去に侵入した脅威が、現在どのエンドポイントどれほどの痕跡を残しているか、リアルタイムに深堀調査を行うことができます。

Endpoint StandardのEDRソリューションにおける“時差”を埋めることで、より迅速な対象を実現します。

エンドポイントの「過去」を可視化

Endpoint Enterprise では、より大規模向けのEDRソリューションEnterprise EDR を提供します。

たとえば、侵入調査を行う「Investigate機能」は、すべてのエンドポイントの活動を記録し、高度な攻撃を可視化しながらプロセスツリーで端末上での動きを追跡し、セキュリティインンシデントの根本原因を突き止めることが可能です。
また、能動的調査を行う「Watchlist機能」がハンティング調査を自動化させ、潜在脅威を洗い出します。これにより大規模な調査でも短い時間で完了することができます。

Endpoint Standard のEDR機能では、一般企業の情報システム部門で運用することが可能ですが、Enterprise EDRはSOC(セキュリティオペレーションセンター)やCSIRT(セキュリティ事故対応チーム)などのセキュリティ専門家が運用することを前提としています。

Investigate機能侵入調査
 すべてのエンドポイントの活動を記録し、高度な攻撃を可視化
プロセスツリーで端末上の動きを追跡し、根本原因を可視化

Watch List機能…能動的調査
ハンティング調査を自動化し、潜在脅威の洗い出し
大規模な調査も瞬時に完了

ネットワールドが一貫サポート

ネットワールドではVMware Carbon Black Cloud製品の紹介からPoC(概念実証)導入活用まで一貫して対応します。

現時点では、VMware社のメーカーサポートは英語のみですが、ネットワールドでは独自の日本語サポートを提供しております。また、VMware Carbon Black Cloud製品の運用を24時間365日体制でサポートするため、アラートの常時監視や即時通知、感染端末の隔離などの一次対応を支援する「ネットワールド マルチベンダーSOCサービス」および、インシデント発生時の詳細調査や復旧などの二次対応を支援するMDRサービスの「ネットワールド Cb-SOC Evolution」を提供しています。

お問い合わせは下記フォームより承っておりますので、お気軽にご連絡ください。

お問い合わせ・ご相談はこちらから

1 2