MDRサービス とは?
MDR(Managed Detection and Response)サービスを導入すると、外部のセキュリティ専門チームがEDRなどのセキュリティ製品が収集する情報を常時監視し、アラート発生時にはその原因を分析し、必要に応じて脅威の封じ込めを行います。また、潜在的なリスクを調査し対処することで、実際の脅威が動き出す前に、お客様に代わり被害を最小化します。
EDR 導入を検討されているお客様の悩み
- セキュリティに強い技術者がいない
- 深夜のサイバー攻撃への対応はどうする?
- セキュリティ監視はメンタル的にきつい
- いざという時に対応できるか不安
- 最新のセキュリティ情報をフォローし続けるのが難しい
サイバー攻撃の増加に伴いEDRの導入が進んでいますが、導入しても従来型のアンチウイルスと同様、検知だけに利用し本来の機能を使いこなせていないお客様もいます。これは従来型のアンチウイルスと比べるとEDRは機能が豊富であり、その効果的な運用にはセキュリティの知識が必要になるからです。
サイバネットがご提案する MDRサービス で悩みを解決
- 24時間/365日
監視・対応
- もしもの時も
60分以内の一次対応
- コンソール操作は
ほぼ不要
EDRの操作に精通したセキュリティの専門チームがお客様のエンドポイントを24時間365日監視します。アラートが発生した際は、60分以内に収集したログを解析して危険度の判定を行い、早期対応に必要な情報を含む一次レポートを送付します。また、事前に運用ルールを設定しておくことで、一次レポートの送付と同時に、お客様による操作なしで該当エンドポイントを論理的に隔離することができます。
特長
レポートで的確な
初期対応を支援
アラート発生時には、「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」「隔離が必要かどうか」をまとめた1次レポートを60分以内に提供して的確な初期対応を支援します。
運用ルールを事前に設定しておくことで、問題のエンドポイントを論理的にネットワークから隔離し、感染被害の拡大を防止することもできます。
回復作業まで
包括的にサポート
二次レポートとして、脅威除去や回復作業に必要な以下の情報を翌営業日に提供します。
- 攻撃により改変されたレジストリやファイル情報
- 同じマルウェアが他のエンドポインに潜伏していないか
- 再度同様の攻撃を受けないために必要な施策
対応にあたって不明な点があれば、専門知識を持つアナリストが電話、メールでQ&A対応いたします。
リスクにも対応
セキュリティに精通したアナリストが、潜在する脅威やリスクを炙りだすプロアクティブな対応をサポートします。
- 脅威ハンティング 最新の攻撃手法を基に組織内に侵入・潜伏している未検知の脅威を検出
- ITハイジーン情報 お客様内のエンドポイントのセキュリティリスクのある設定や脆弱性を報告
- デジタルリスクの監視 予め登録いただいた情報について、Dark Webを含むWeb情報を監視
運用負荷の
さらなる低減
運用ルールはご利用のEDR製品で設定したグループやポリシー毎に指定できます。危険度やアラート発生時間帯だけでなく、エンドポイントの用途(PC/サーバ/業務システムなど)や、利用者の属性などに合わせて、連絡先や即時隔離の有無、レポートの言語(日/英)など、お客様の運用体制にあわせて柔軟な運用ルールを設定いただけます。運用開始後のルール変更や連絡先変更も回数の制限なく行えます。
サービスの仕組み
サービス内容
アラート解析
セキュリティ専門チームが24時間365日体制でEDRから受信したアラートを起点にインシデントのログを解析し、一次、二次に分けてインシデントの状況をレポートします。その際、アラートの危険度を4段階(高/中/低/過検知)に分類し、危険度に応じてメールや電話等でお知らせいたします。ご利用のEDR製品の評価に加え、脅威活動の挙動も含めて危険度を判定します。
一次レポート:
アラート受信後60分以内に、インシデントの状況、被害、不正通信先、残留脅威の有無などを報告します。
二次レポート:
アラート受信の翌営業日中に脅威を除去し、回復(再発防止)した後、より詳細なインシデント及び対応内容を報告します。
※危険度により報告の内容や方法が異なります。詳細はお問い合わせ下さい。
一次レポート記載情報
- インシデント概要
- 危険度
- 対象エンドポイント情報
- EDRの脅威ブロック状況
- アラート対象プロセス情報(概要)
- 不正通信先
- 推奨対応
二次レポート記載情報
- インシデント詳細
- 危険度
- 対象エンドポイント情報
- EDRの脅威ブロック状況
- アラートプロセス情報(詳細)
- 不正通信先(詳細)
- エンドポイントにおける改変情報(レジストリ、ファイル)
- 横展開の有無
- 推奨対応、対応状況(実施した封じ込め作業の実施状況)
- 回復支援情報
脅威の封じ込め
攻撃を受けたエンドポイントをネットワークから隔離することで、脅威となる活動を封じ込め、感染被害の拡大を防ぎます。隔離されたエンドポイントは、EDRの管理サーバとの通信を除き、ネットワークへのアクセスが遮断されます。隔離が必要かどうかの判断は専門チームで行います。隔離実施前にお客様の承認を必要とするか等は、事前に運用ルールにて指定できます。(運用ルールはご利用のEDR製品のグループやポリシー毎に設定可能)
脅威除去支援
マルウェア本体だけでなく、そこから派生したファイルやレジストリキーの除去、さらにはアラート発生端末以外の横展開で感染した端末についても調査、対応を行います。ご利用のEDR製品の機能を利用してリモートで対応できないものについては、除去に必要な情報(除去対象や除去手順など)をご案内します。
回復支援
アラート解析により特定された脅威に対して、同様の攻撃の再発を抑止するため、脅威ファイルのハッシュ値をブラックリストに登録するなどの施策を支援します。また、お客様のネットワーク環境全体を俯瞰的に見た上で、EDR製品におけるエンドポイントでの再発防止策だけでなく、必要に応じてUTMなど周辺のセキュリティ製品での再発防止策も含めてご提案します。
脅威ハンティング
ハッカーの最新の攻撃手口を参考にして、月次、日次で組織内に侵入・潜伏している未検知の脅威を検出します。 影響範囲や攻撃動作が判明しているハッカーの手口を参考にするため、検出された脅威は実際の攻撃実行前に対応することができます。また、業界団体からの早期警戒情報など緊急情報を入手された場合や、ご利用のEDR以外の製品(UTM、アンチウイルスなど)でアラートが発生した際は、ご依頼に基づき回数無制限でエンドポイントの調査を実施いたします。
※日時で実行されるのは、簡易的な脅威ハンティングとなります。
ITハイジーン
ご利用のEDR製品の機能を利用してセキュリティリスクのある設定や脆弱性の把握などに活用可能な、エンドポイントの「ITハイジーン」に関する情報を毎月レポートとして提供します。危険度に応じて優先度を付けてご案内するため、対応計画の参考としてご利用いただけます。また、レポート内容に関するご相談や対応内容により、リモートでの実施支援にも対応します。
※ご利用のEDR製品の機能を利用します。該当機能を搭載していない場合はご利用いただけません。
レポート内容(例)
- 頻出の攻撃や話題となっている攻撃に利用される脆弱性のあるエンドポイント
- 悪用されうるOS設定が適用されているエンドポイント
- 脆弱性のあるソフトウェアバージョンを利用しているエンドポイント
デジタルリスクの監視
CYFIRMA社の脅威ディスカバリー&サイバーインテリジェンスプラットフォーム「DeCYFIR™」を活用し、ご登録いただいた組織でご利用のドメイン、IPアドレスおよび組織名や製品名等のキーワードについて Dark Web を含む Web 情報を監視し、検出された脅威リスクを報告します。
月次レポート
毎月1回、運用結果をレポートとして提供します。
インシデントが発生していなくても、どういったアラートが発信されていたのか、潜在的なリスクが高まっていないかなどを確認いただけます。
また、ご依頼に基づき、年4回まで四半期分の月次レポートの報告会の開催を承ります。
レポート内容
- 1か月の検知・解析の実績サマリ
- 脅威ハンティング実施結果
- ITハイジーン
- デジタルリスクの監視結果
- 最新のセキュリティ関連情報
ご利用条件
対応EDR製品:
・CrowdStrike Falcon
・VMware Carbon Black
最小管理デバイス数:
・100 以上
※ ご利用のEDR製品及び製品種別によりご利用いただけないサービスがございます。
詳細はお問い合わせ下さい。
※ 本サービスは、サイバネットでEDR製品をご契約いただいたお客様向けです。
MDRサービス単体での提供は行っていません。
EDRに関する疑問やお困りごとは、
専門スタッフがご回答します!
- 価格感を知りたい
- 製品の選び方がわからない
- 自社にEDRが必要なのか迷っている
- 他製品と連携できるか知りたい
- 自社のスタッフで対応できるか不安
EDR製品の検討・導入に関する疑問や詳細情報など、お気軽にご相談・お問い合わせください。