次世代型MSS for NGAV+EDR

次世代型アンチウイルス+EDR MSS(マネージドセキュリティサービス)

企業にとってサイバーセキュリティ対策は喫緊の課題であり多くの企業が対策を進めています。しかし、セキュリティ製品導入後の運用段階において、常時監視を続けアラート発生時の初動対応などセキュリティインシデント管理をすべて自社内で実施することは、体制構築や要員確保、さらに製品に関する知識の成熟などが必要となり負担が増大します。

本サービスでは「防御・検知」「初期対応」のプロセスは専門の運用サービスにて実施し、お客様側では「判断すること」「連絡すること」を主体とする事で、的確で迅速なセキュリティ対応を可能とします。

次世代型MSS(マネージドセキュリティサービス)for NGAV+EDR

「次世代型MSS for NGAV+EDR」では、巧妙化する攻撃手法に対応する次世代型のセキュリティ製品の運用・監視を24時間365日実施するマネージドセキュリティサービスです。

NGAV(次世代アンチウィルス / Next Generation Anti Virus)と EDR(インシデントレスポンス/脅威ハンティング / Endpoint Detection and Response)の両方を実現し、エンドポイントの隔離やマルウェア除去などの脅威除去支援、再発防止施策支援により、脅威侵入後の対応もサポートします。

また、インシデントのアラートをGRCS - SOC(GRCS Security Operation Center)で受信し、専門知識を持つアナリストによる解析結果をわかりやすい形にまとめて報告いたします。

次世代型セキュリティMSS(マネージドセキュリティサービス)for NGAV+EDR
次世代型MSS for NGAV + EDR でできること
インシデントアラート受信後60分以内にレポートを発報
24時間365日リアルタイム監視
高度な専門知識と業務経験を有するアナリストによる解析・対応支援
SOC運用に特化した独自システム
脅威ハンティングによりプロアクティブなリスク対応
運用担当者の専門知識獲得をサポート(要問合せ)
初期対応

インシデントアラート受信後60分以内に初期対応に必要なレポートを発報


インシデントアラート受信後60分以内に、アラートが発生した詳細な過程やインシデントへの早期対応に必要な情報をいち早く確認。アラート通知の重要度に応じて電話やメールにてお客様にお知らせし、「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」をまとめたレポートを提供いたします。

専門的な知識がないと理解し辛い箇所や、せっかくの有益な情報を十分に活用できないという事がなく、分かりやすいレポートで、的確な初期対応をバックアップいたします。

また、遠隔にて問題の端末をネットワークから隔離し、被害の拡大を抑止することも可能です。

※ 横スクロールしてください
危険度概要運用時間(監視時間)検知から通知までの時間連絡方法補足
マルウェア感染や外部への不正な通信など、お客様の資産にとって重大な脅威となりうるイベントが確認されたインシデント
24時間365日
60分以内
電話
メール
電話が繋がるまで繰り返す※1
アラート検知時点ではセキュリティ侵害活動を防止していますが、マルウェアの除去などエンドポイントにおいて何らかの処置が必要なインシデント
60分以内
メール -
攻撃活動の可能性が低いインシデント
月次 ※2 メール
(レポート)
-

※1 お客様との取決め次第では、GRCS-SOC側でお客様の確認を待たずに、先行して隔離する事も可能です。

※2 危険度低のアラートは、特にご依頼がない場合、月次レポートでのみ報告いたします。危険度低のアラートも6か月間ログとして保存され、詳細は管理画面からご確認いただけます。

運用

24時間365日リアルタイム運用監視


24時間365日体制で、「防御・検知」「初期対応」のプロセスを実施します。また、受診したアラートに関するインシデントのログを解析し、解析結果を一次、二次に分けてレポートいたします。

防御・検知アラート発生から、「初期対応」、「恒久対応」までのセキュリティインシデント管理を実施することにより、インシデント状況や脅威状況の可視化、対応漏れを防ぐことができます。

60分以内
翌営業日以内

アラート
受信

インシデント内容の把握
被害状況、不正通信先、残留脅威の有無など

過検知判定
危険度判定

一次レポート
送付

二次レポート
送付

s_2_yaji
s_2_yaji
脅威の封じ込め
脅威除去
回復(再発防止)
※ 横スクロールしてください
管理プロセスプロセスの概要MSS担当自社担当
1
防御・検知
EDR製品の防御・検知機能で発生したアラートを検知。アラートをMSSが受信し、アラート内容から、危険レベルを分類し運用者に通知する。
-
2
分類
MSSからの通知を受けて、端末利用者の業務内容や利用システム、取り扱い情報から、脅威レベルを分類し、初期対応のオペレーションを決定する。
-

(判断)
3
連絡
MSSに初期対応オペレーションの依頼を実施する。
端末利用者にマルウェア感染の連絡を実施する。
-

(MSS指示)
4
初期対応
マルウェアによる情報漏洩や拡散防止など、リスク極小化のための初期対応オペレーション(隔離、駆除)を実行する。
-
5
恒久対応
詳細調査を実施し、具体的な被害状況を把握する。
インシデントの根絶のための対応策を検討し実行する。
解析・対応支援

高度な専門知識と業務経験を有するアナリストによる解析・対応支援


エンドポイントで改変されたレジストリやファイルの情報、アラート発生端末以外に同じマルウェアが潜伏していないか(横展開の有無)、再度同様の攻撃を受けないために必要な施策など、脅威除去や回復作業に必要な情報を提供いたします。

対応にあたってご不明な点があれば、専門知識を有するアナリストが電話、メールでQ&A対応いたします。

お客様側は「判断すること」「連絡すること」を主体とすることができ、専門箇所は専門知識を持つアナリストにお任せください。

脅威除去や回復作業まで包括的にサポート

脅威の封じ込め

エンドポイントのネットワーク隔離により、脅威となる活動を封じ込め、被害の拡大を防ぎます。
ネットワーク隔離を実施すると、当該エンドポイントはCb Defense管理サーバとの通信を除きネットワークへのアクセスを遮断されます。

(リモート隔離オペレーション)

脅威除去支援

マルウェアの駆除や不正ファイルの削除など、脅威活動の元を除去します。
Cb Defenseの機能を利用してリモートで対応できないものに関しては、除去に必要な情報(除去対象や除去手順など)を提供いたします。

(リモート隔離オペレーション)

回復支援

アラート解析により特定された脅威に対して、同様の攻撃の再発を抑止するための施策を支援いたします。
また、関連するお問い合わせにメールまたは電話にて対応します。

独自ツール

SOC運用に特化した独自システムにより
グラフィカルで分かりやすい運用状況の把握が可能


CSIRT MT.mss
csirt_mt_mss

「CSIRT MT.mss」は、MSS事業者、社内SOC向けのマルチテナント型インシデント管理ツールです。これによりセキュリティ運用における効率化・実効性・自動化・高度化の実現が可能となります。

わかりやすいダッシュボードやレポートを利用して、セキュリティ運用状況のレポートなどを簡単に出力することができ、経営層に現状報告や改善案を立案することができます。

また、現状のセキュリティ運用形態に応じ、承認フローや対応項目など自由にカスタマイズ可能です。

※ CSIRT MT.mssのご利用はオプションとなります。メールベースでのやりとりのみで運用する事も可能です。操作の代行などもございますのでお気軽にお問い合わせください。

脅威ハンティング

脅威ハンティングによりプロアクティブなリスク対応が可能


月に1回、ハッカーの攻撃手口を参考にして組織内に侵入・潜伏している未検知の脅威を検出します。

これにより、脅威ハンティングで検出した脅威はその時点で影響範囲や攻撃動作を把握できているため、攻撃実行前に対応することが可能になります。

ハンティングする脅威は、お客様にご指定いただくことも可能です。(ご指定がない場合は、こちらにて選定した攻撃手口にて実施いたします。)

脅威ハンティングによりプロアクティブなリスク対応が可能

次世代型MSS for NGAV+EDR サービス概要

次世代アンチウイルスとEDRを一本化したエンドポイントセキュリティ製品であるCarbon Black社の「CB Defense」の運用を、当社のマルチテナント型インシデント管理ツール「CSIRT MT.mss」を活用して管理することで、お客様の運用負荷を最大限軽減し効率的なセキュリティ対策実現を支援します。

インシデント対応フローのほとんどをGRCS-SOCで対応いたしますので、お客様の運用負荷を大きく削減できます。

GRCSの次世代型セキュリティMSS
※ 横スクロールしてください
サービスカテゴリサービス概要
アラート解析 受信したアラートに関するインシデントのログを解析し、危険度の判定と早期対応に必要な情報を提供します。
  • 初期対応に必要な情報を含む一次レポート:アラート受信後60分以内に送付
  • 詳細なアラート解析結果を含む二次レポート:アラート受信の翌営業日以内に送付
リモート隔離オペレーション お客様の依頼を受け、初期対応支援のとなる、リモート隔離オペレーションを実施します。(端末のNW隔離やマルウェア活動の隔離など)
脅威の封じ込め※1 エンドポイントのネットワーク隔離を遠隔で実施します。
脅威除去支援※1 マルウェアの駆除など、エンドポイントに残存する脅威の除去作業を支援します。
回復支援※1 セキュリティパッチ情報の提供など、再発を抑止するための施策を支援します。
脅威ハンティング※1 組織内に侵入・潜伏している未検知の脅威を検出します。
月次レポート セキュリティ侵害検知状況、脅威ハンティング実施結果、最新のセキュリティ関連情報のレポートを月1回提供します。(月初5営業日以内)

※1 支援調査については、EDR製品が持っている機能範囲での実施となります。(フォレンジックなどは、別での相談となります)

※ エンドポイントのネットワーク隔離など、Cb Defense の機能を利用して実施可能な対応は弊社にて実施いたします。

次世代型MSS for NGAV+EDRに関するお問合せ

そのほか、製品に関しての詳しい内容やご質問などお待ちしております。
次世代型MSS for NGAV+EDR  お問合せ・資料請求