はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
CrowdStrike Falcon プラットフォームについてご紹介いたします。
CrowdStrike Falcon プラットフォーム
CrowdStrike Falconは、AIを活用してサイバー攻撃を阻止するクラウドネイティブなエンドポイント保護プラットフォームです。単一の軽量エージェントで、次世代アンチウイルス(NGAV)やEDRなどの多様なセキュリティ機能を提供し、未知の脅威からもリアルタイムで防御します。
以下に各機能の概要・参考ブログ・参考URLをご紹介します。
Prevent(NGAV)
Preventをご利用いただくことで、既知/未知およびマルウェアの有無によらず悪性な攻撃を防ぐことが可能です。マルウェアによるファイルベースの攻撃の自動ブロックに加え、ふるまいベースの攻撃に対しても自動ブロックが可能となります。
- 【CrowdStrike】Falcon NGAV(Prevent)の優位点について
- 【CrowdStrike】主要機能『PIO』が、めちゃくちゃ仕事熱心な「推せる」チームだった件について > 【P】Prevent:最新AIで守り抜く「防衛の要」
Insight(EDR)
Preventと合わせて利用することで視覚的にわかりやすいプロセスツリーを組み立て可視化します。端末上のセンサーが収集する端末上の振る舞いを、サーチ画面・ダッシュボードにてさまざまな観点から調査することできます。
-
【CrowdStrike】主要機能『PIO』が、めちゃくちゃ仕事熱心な「推せる」チームだった件について > 【I】Insight:沈黙のまま、すべてを記録する「記憶の達人」
- ブラウザ経由で悪意のある実行ファイルをダウンロードしたときのCrowdStrikeの振る舞いの確認とProcessツリー
OverWatch(脅威ハンティング)
CrowdStrikeの専門家チームが24時間365日、顧客の環境を有人監視する「脅威ハンティング」サービスです。自動化されたツールをすり抜けるような、攻撃者のわずかな「人の手による動き」をプロの目で見つけ出すサービスです。
Complete(MDR)
Falcon Completeは、CrowdStrike社が提供する24/365体制のMDRサービス管理、防止、モニタリング、レスポンスのプロセス全体をFalcon Completeチームがお客様に代わり実施します。
Intelligence (脅威インテル/ダークウェブ監視/Sandbox)
自動分析機能をご提供するモジュールです。攻撃内容の詳細をリアルタイムに特定し速やかな対処を行うことを目的とします。
- ダークウェブなどで取引されている情報をリアルタイムで監視し、重要情報が漏洩していないか確認
- 全世界の攻撃者グループの動向を監視し、攻撃者グループのTTPs(Tactics,Technique,Procedure)や攻撃キャンペーンを分析内容を確認
- 脅威解析用のサンドボックスをご提供します。NGAVで検知したマルウェアをサンドボックスに自動転送して解析する他、手動での解析を実施
- マルウェアの総合的な検索機能、関連するマルウェア、類似のマルウェア等の高速検索を実施
Mobile(モバイル保護)
モバイル向けのEDR製品です。iPhone、AndroidのEDR制御のためには必要となります。
Device Control (USB制御)
USBデバイスなどを可視化・利用制限(デバイス制御)設定を行う機能です。
Firewall(ホストFW)
Windows/macOS/Linux標準のファイアウォールを、Falconの管理コンソールから一括で設定・管理する機能です。
- 【CrowdStrike】Falcon Firewall Management でChatGPTの利用を制限してみた【生成AIセキュリティ対策シリーズ】
- CrowdStrike Firewall で特定サイトへの通信をブロックする
- 【CrowdStrike】特定アプリケーションのみに適応させるFirewall Ruleを実際に動作させてみた
Data Protection(機密データ保護)
Web や USB デバイスなどの重要なチャネルを介してエンドポイントから送信される機密データを包括的に可視化します。
Discover(資産管理)
Insightで収集した端末のログをもとにネットワーク内のIT資産(端末、アカウント、アプリケーション)をリアルタイムに可視化し、管理されていない端末(シャドーIT)などを把握。
Spotlight(脆弱性管理)
端末に存在する脆弱性(CVE)や未適用KBを自動的に収集しほぼリアルタイムに可視化します。脆弱性の可視化や優先順位付け、対処の各フェーズでお客様の脆弱性運用をサポートします。
File Vantage(変更管理)
ファイルの整合性を監視し、重要ファイル、フォルダ、レジストリの変更を完全に可視化。Falconコンソールから全ての変更を俯瞰したり、詳細を確認できます。
NG-SIEM(ログ管理基盤)
CrowdStrike Falconが提供するSIEMサービス。EDRのログがある状態で、必要な外部サービスのログを連携するかたちとなるためコスト効率がよく、検索速度も高速で処理が行われる。
- 【CrowdStrike】Falcon NG-SIEMで実現する「見えない」リスクを解消するログ統合と可視化について
- 【CrowdStrike】FalconのNG-SIEMでのログ集約環境の構築と可視化について
- 【CrowdStrike】Falcon Next-Gen SIEMとは?
- 【CrowdStrike】FalconのNG-SIEMへのログ取り込みについて_Okta編
- 【CrowdStrike】Falcon NG-SIEMへのログ取り込みについて_Netskope編
Cloud Security(CNAPP)
CNAPP(CWP/CSPM/ASPM)セキュリティサービスを提供します。
-
【CrowdStrike】FalconのAWS ECRイメージ評価と脆弱性確認とExPRT.AI(Cloud Security)
-
【CrowdStrike】FalconのDSPM設定とアセットエクスプローラーでのAWSリソースの確認(Cloud Security)
Shield(SaaSセキュリティ)
Microsoft 365やGoogle Workspace、Salesforceといった主要なSaaSと連携し、セキュリティ設定の監査やリスク可視化を行うソリューションです。
Surface(外部公開資産)
社内で利用されている外部公開資産の利用状況を可視化し、優先順位をつけ対処すべきリスクを明確にします。
ITDR(ADのIdentity保護)
正規クレデンシャルベースで攻撃が進行する「認証」に対する攻撃についても防御/検知/対応を行うための仕組みが必要です。そのための機能を提供しお客様のIdentityを保護します。主にADを運用している場合にそのセキュリティ保護を目的としています。
Charlotte AI(運用のAIアシスト)
Falconのテナントで利用可能な 生成AI を活用した サイバーセキュリティアシスタント です。日常言語(自然言語)での質問や指示を通じて、セキュリティ業務の効率化と迅速な対応を支援します。
Falcon for IT(運用一括操作・調査)
Falcon for ITをご利用いただくことで、各種ホストの設定や状態をリアルタイムに把握することが出来、必要に応じて対処を行うことが可能となります。セキュリティ対策だけでなく、IT管理のツールとしてもご利用いただけます。
AIDR(AI検知・対応)
AIを安全に使うためのセキュリティサービスとなります。AI特有の攻撃を阻止、情報漏洩のガード、潜伏AIの可視化を行います。
さいごに
今回はCrowdStrike Falconのプラットフォームと各機能概要についてご紹介いたしました。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falcon運用の一助となれば幸いです。
CrowdStrike Falconについてのお問い合わせ
ランサムウェアへの対策・検討として、一度フリートライアルにて動作を確認してみませんか?フリートライアルやPOV(POC)、その他CrowdStrike Falconにご興味のある方はお気軽に弊社までお問い合わせください。
ネクストモードでは、CrowdStrike Falconをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ぜひお気軽にご相談ください!
