Carbon Black の機能について

こんにちは、VMware担当及川です。

今回はCarbon Blackの機能ついてご紹介します。

■NGAV(次世代アンチウイルス)

アンチウイルスから防御するための機能となります。
Carbon Blackでは、ポリシーと呼ばれるセキュリティルールを作成し、自ら対処方法(アプリの実行禁止、プロセスの終了、ファイルの削除、スキャン方法など)をカスタマイズすることができます。

下記の図の例では、「Monitored」から「Best」まで、右に行くほどセキュリティレベルが高いポリシーを用意したケースをイメージしております。

・Monitored

防御せず、アクティビティの検出のみを目的として利用。

・Good

従来のアンチウイルスの置き換え用として利用。

・Better

正規のツール(OfficeのマクロやPowershellなど)を悪用する昨今の脅威から守る際に利用。

・Best

最新のレポートなどを基に、積極的に脅威をブロックさせる際に利用。

このように複数のポリシーを用意することで、部署単位でセキュリティレベルが異なるケース、防御のテストや複数の企業にセキュリティサービスを提供するケースなど、状況に応じて対応することができます。

また、Carbon Black社内には脅威分析チームが存在しています。
このチームでは、最新の脅威解析を行っており、その解析内容をユーザコミュニティで公開、Carbon Black Cloudの脅威インテリジェンスエンジンに反映、そして脅威ハンティングのリストとNGAVのポリシーに組み込むことで、最新の攻撃から守ることができます。
セキュリティ対策について、自分たちで最新の対策方法を追加し、カスタマイズできる点がCarbon Blackの強みとなります。

■振る舞いEDR(Endpoint Standardに含まれるEDR)

OS内で処理される、イベント(アプリの起動やプログラムの実行など)を監視し、それぞれのイベントにタグをつけて、タグの関連情報を見て、総合的に白黒判定を行います。通常のイベントは30日、Alertに関連したイベントは180日までログを保存することができます。振る舞いEDRでは、検知機能までとなり、検知された内容に応じて、NGAVで定義したポリシーに基づいて、操作を拒否することや、プロセスを終了することができます。

■Enterprise EDR

<振る舞いEDRとEnterprise EDRの違いは?>

振る舞いEDRとEnterprise EDRの違いについてよくご質問を頂きます。
振る舞いEDRで基本的な脅威については、検知することが可能です。しかしながら、未知の脅威については、検知しきれないケースもあります。また、イベントについても、簡易的な情報のみ収集しているため、詳細まで掘り下げて調べることができません。

そこで、Enterprise EDRでは、Standardで検知した攻撃の詳細調査や、Standardで検知しきれなかった攻撃について、詳細まで調べることができます。端的にまとめると、Standardでカバーできない領域を完全にカバーするセキュリティAnalyst向けのEDR機能がEnterprise EDRとなります。データ収集とThreat Hunting(脅威ハンティング)の2つの機能をまとめてEnterprise EDRと呼んでいます。

<Unbiased Data>

怪しい、怪しくないにかかわらず、実行されたすべてのファイルを平等に収集します。Powershellで実行したコマンドやその結果など、詳細まで収集することが可能です。攻撃者は攻撃した後ファイルを削除し、痕跡を消すケースがあります。そのため、全ての実行履歴を保存することで、後から解析することができます。
各プロセスのイベントについては、以下の情報を記録しています。

  • netconn ネットワーク通信
  • regmod レジストリ作成/編集/削除
  • filemod ファイル作成/編集/削除
  • modload モジュールのロード
  • childproc 子プロセス生成
  • crossproc 他プロセスに対しての処理
  • scriptload スクリプトのロード
  • fileless_scriptload AMSIで取得した情報(Powershell、WSH等の詳細なコマンド情報)

<Threat Hunting(脅威ハンティング)>

  • 全端末のイベントやプロセスの調査機能

    様々な構文を使うことで、高速に検索ができます。

  • Watchlists(ウォッチリスト)

    潜在的な脅威と疑わしいアクティビティを探すために環境を監視するカスタム検出を利用できます。ウォッチリストには、特定の侵入の痕跡 (IOC)を追跡する脅威レポートが含まれています。ウォッチリストは、環境内でレポートに含まれている IOC の存在を検出します。カスタムルールを使うことで、自分で検知ルールを追加することもできます。

■Audit&Remediation

端末の設定やパッチ適用情報などオンデマンドで情報を収集することができます。その収集したデータをもとに、直接端末に入り、対処を行うことができます。

<Live Query>

全端末から一斉に情報を検索、収集する機能です。
Windowsに適切なパッチが当たっているかどうかや、脆弱性のあるバージョンのデーモンを使っていないかなど、端末の情報から判断することができます。

<Live Response>

特定の端末にログインして操作ができる機能となります。管理者側で直接端末を操作し、個別に対処を行うことができます。

今回は主要な機能について、紹介させていただきました。
次回は、ライセンスの選定方法についてです。お楽しみに!

VMwareの記事




※閲覧にはiDATEN(韋駄天)へのログインが必要です。