EDR監視（DH-SOC マネージドセキュリティサービス）

EDR監視（DH-SOC マネージドセキュリティサービス）とは？

サイバーセキュリティに関する専門知識を持つ当社セキュリティオペレーションセンター（DH-SOC）のアナリストによる各種EDR（Endpoint Detection and Response）のマネージドサービス＝DH-MDR（Managed Detection & Response）を提供します。エンドポイントにおけるインシデントのアラートは弊社SOCで受信し、エンドポイントの隔離や、マルウェア除去などの脅威除去支援、再発防止施策支援まで、一貫して対応いたします。また、脅威ハンティングやITハイジーン、デジタルリスクの監視により、潜在的なリスクへの事前対応もサポートいたします。さらに月次レポートやポータルサイトを利用した運用支援と日々の運用代行が可能な運用Plusオプションもご用意しています。

基本対応メニュー

メニュー	概要	アラート対応	随時対応
アラート解析	受信したアラートに関するインシデントのログを解析し、危険度の判定と早期対応に必要な情報を提供します。 ・初期対応に必要な情報を含む一次レポート：アラート受信後60分以内に送付 ・詳細なアラート解析結果を含む二次レポート：アラート受信の翌営業日以内に送付 ・タイムラインを含む三次レポート：危険度「高」でDH-SOCが必要と判断した場合に送付	● (一次・二次・三次対応)
エンドポイント隔離	エンドポイントのネットワーク隔離を遠隔で実施します。	● (一次対応)
脅威除去支援	マルウェアの駆除など、エンドポイントに残存する脅威の除去作業を支援します。	● (二次対応)
回復支援	EDR の IOA / IOC 登録など再発を抑止するための施策を支援します。 ご利用のファイアウォールやプロキシなど、EDR 以外のセキュリティ製品での推奨対応をご提示致します。	● (二次対応)
脅威ハンティング	組織内に侵入・潜伏している未検知の脅威を検出します。		●
ITハイジーン	エンドポイントの脆弱性の存在をDH-SOCが調査し、月次レポートで報告します。 ※対応ライセンスは別途お問い合わせください。		●
デジタルリスク監視	CYFIRMA社の「DeCYFIR™」を利用して、ご登録いただいた情報についてDark Webを含むWeb情報を監視し、脅威リスクのある検索結果を報告します。		●

サポート窓口
受付時間：24時間365日
受付方法：メール、電話、Slack、Teams、カスタマーポータル

サポート／オプションメニュー

メニュー	概要	標準メニュー	運用 Plus  オプション
月次レポート	セキュリティ侵害検知状況、脅威ハンティング実施結果、最新のセキュリティ関連情報のレポートを月１回提供します。（月初10営業日以内）	●
カスタマーサポートポータルサイト	レポートのアーカイブ、ブロック / 低一覧、カレンダー機能を独自のカスタマーサポートポータルサイトでご利用いただけます。	●
報告会	お客様のご依頼に基づき、年4回を上限として、四半期分の月次レポートについて報告会を実施いたします。 開催時期、開催方法（オンサイト / オンライン）はご相談ください。	●
センサーアップデート	製品の自動アップデートに加え、DH-SOCにて、アップデートの確認を行います。 アップデートの結果は月次レポートに対象センサーバージョンごとの端末一覧として、報告します。		●
ポリシー最適化※	DH-SOCにて、Prevention Policy に新たな設定内容が追加された場合や更新された場合、ポリシーの推奨設定を自動的に設定、および更新します。		●
未導入端末検知※	センサー未導入端末の確認を行います。 センサー未導入端末の一覧は月次レポートに未導入端末一覧として、報告します。		●
設定変更作業	EDRのグループ名の追加や適用するポリシーの変更などの作業を 5回 / 月までお客様に代わり、DH-SOCにて行います。		●
オンライン報告会	通常の報告会に加えて、お客様からのご依頼に基づき、月次レポートについての報告会をオンラインで毎月開催します。 ブロック一覧の精査を行い、過検知抑止対応をご支援します。		●

※対象となるEDRおよびライセンスはお問い合わせください。

EDR監視（DH-SOC マネージドセキュリティサービス）の特徴

①分かりやすいレポートで、的確な初期対応をバックアップ

DH-MDRサービスでは、アラート受信後60分以内に「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」「隔離が必要かどうか」を分かりやすくまとめたレポートを提供し、的確な初期対応を支援いたします。
また、遠隔にて問題のエンドポイントをネットワークから隔離し、被害の拡大を抑止することも可能です。

一次レポート内容
・インシデント概要
・危険度
・対象エンドポイント情報
・EDRによる脅威ブロック状況
・アラート対象プロセス情報　（概要）
・不正通信先
・推奨対応

②脅威除去や回復作業まで包括的にサポート

攻撃者集団の特定や攻撃手法の特定、エンドポイントで改変されたレジストリやファイルの情報、アラートが発生したエンドポイント以外に同じマルウェアが潜伏していないか（横展開の有無）、再度同様の攻撃を受けないために必要な施策など、脅威除去や回復作業に必要な情報を提供いたします。
対応にあたってご不明な点があれば、専門知識を有するアナリストがメール、電話でQ&A対応いたします。

二次レポート内容
・インシデント詳細
・危険度
・対象エンドポイント情報
・EDRによる脅威ブロック状況
・アラートプロセス情報（詳細）
・不正通信先（詳細）
・エンドポイントにおける改変情報（レジストリ、ファイル）
・横展開の有無・推奨対応、対応状況（弊社で実施した封じ込め作業の実施状況）
・回復支援情報

③お客様の運用体制に合わせた柔軟なルール設定が可能

運用ルールは EDR のポリシーごとにご指定頂けます。
危険度やアラート発生時間帯だけでなく、エンドポイントの用途（PC、サーバ、業務システムなど）や、ご利用者の属性などに合わせて、連絡先や即時隔離の有無、レポートの言語（日英対応）など、お客様の運用体制に応じた柔軟な運用ルールで対応させていただきます。
運用開始後のルール変更や連絡先変更も、回数無制限で随時対応いたします。

④外部インテリジェンスやアナリスト知見を活用したプロアクティブな対応をサポート

アナリストが優先付けしたITハイジーン情報の提供や、外部インテリジェンスを活用した脅威ハンティングやデジタルリスクの監視により、実被害が発生する前の対応実施をサポートします。

プロアクティブ

対応概要	DH-MDRサービス 提供概要	対応する サービスメニュー
エンドポイント上のOSやソフトウェアの脆弱性や、攻撃に悪用されうる設定などに対し、セキュリティアップデートや安全な設定への変更作業などを実施し、攻撃手段を封じて脅威の侵入を事前に抑止する対応	組織内のエンドポイントで確認された攻撃によく利用される脆弱性や設定情報を提供 →より汎用的な攻撃抑止施策の実施・検討をサポート（施策実施はお客様）	ITハイジーン デジタルリスクの監視
エンドポイント内に潜んでいる脅威を、セキュリティ侵害インジケーター（IOC：indicator of compromise）を使って見つけ出し、攻撃が開始される前に脅威を除去する対応	組織のエンドポイントのログからアラート化されていない脅威を検出し、情報を提供 エンドポイント内に脅威がある場合は、脅威除去支援や回復支援も実施	脅威ハンティング 脅威除去支援 回復支援

リアクティブ

対応概要	DH-MDRサービス 提供概要	対応する サービスメニュー
エンドポイント内で検知された攻撃活動のアラートを起点にした対応	MDRサービスにより、一連のアラート対応（アラート解析、エンドポイントの隔離、脅威除去支援、回復支援）を実施	アラート解析 脅威の封じ込め 脅威除去支援 回復支援

対応EDR

・VMware Carbon Black Cloud
・CrowdStrike Falcon
・Trellix Endpoint Security（HX）
・Paloalto Cortex XDR
・Tanium Cyber Hygiene

関連サービス