EDR監視(DH-SOC マネージドセキュリティサービス)

脅威除去から再発防止施策支援まで
一貫サポートするEDR監視サービス

サイバーセキュリティに関する専門知識を持つ当社セキュリティオペレーションセンター(DH-SOC)のアナリストによる各種EDR(Endpoint Detection and Response)のマネージドサービス=DH-MDR(Managed Detection & Response)を提供します。エンドポイントにおけるインシデントのアラートは弊社SOCで受信し、エンドポイントの隔離や、マルウェア除去などの脅威除去支援、再発防止施策支援まで、一貫して対応いたします。また、脅威ハンティングやITハイジーン、デジタルリスクの監視により、潜在的なリスクへの事前対応もサポートいたします。

edr

EDR監視 基本対応メニュー

メニュー概要対応
アラート解析受信したアラートに関するインシデントのログを解析し、危険度の判定と早期対応に必要な情報を提供します。
・初期対応に必要な情報を含む一次レポート:アラート受信後60分以内に送付
・詳細なアラート解析結果を含む二次レポート:アラート受信の翌営業日以内に送付
アラート対応
(一次・
二次)
脅威の封じ込めエンドポイントのネットワーク隔離を遠隔で実施します。アラート対応
(一次・
二次)
脅威除去支援マルウェアの駆除など、エンドポイントに残存する脅威の除去作業を支援します。アラート対応
(二次)
回復支援セキュリティパッチ情報の提供など、再発を抑止するための施策を支援します。
ご利用のファイアウォールやプロキシなど、VMware Carbon Black以外のセキュリティ製品での推奨対応の作業代行も可能です。
※対象製品/サービスへのアクセス許可が必要となります。
アラート対応
(二次)
脅威ハンティング組織内に侵入・潜伏している未検知の脅威を検出します。随時
対応
ITハイジーンVulnerabilitiesを利用して、リアルタイムのインベントリや脆弱性などを月1回報告します。
※Vulnerabilities機能が利用できるライセンスの場合
随時
対応
デジタルリスクの監視CYFIRMA社の「DeCYFIR™」を利用して、ご登録いただいた情報についてDark Webを含むWeb情報を監視し、脅威リスクのある検索結果を報告します。随時
対応
月次レポートセキュリティ侵害検知状況、脅威ハンティング実施結果、最新のセキュリティ関連情報のレポートを月1回提供します。随時
対応
※導入するEDRに応じて対応可能なメニューが異なる場合があります

サポート窓口
受付時間:24時間365日
受付方法:メール、電話、Slack、Teams、カスタマーポータル

EDR監視の3つの特徴

①分かりやすいレポートで、的確な初期対応をバックアップ
DH-MDRサービスでは、アラート受信後60分以内に「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」「隔離が必要かどうか」を分かりやすくまとめたレポートを提供し、的確な初期対応を支援いたします。
また、遠隔にて問題のエンドポイントをネットワークから隔離し、被害の拡大を抑止することも可能です。

一次レポート内容
・インシデント概要
・危険度
・対象エンドポイント情報
・VMware Carbon Blackによる脅威ブロック 状況
・アラート対象プロセス情報 (概要)
・不正通信先
・推奨対応

②脅威除去や回復作業まで包括的にサポート
攻撃者集団の特定や攻撃手法の特定、エンドポイントで改変されたレジストリやファイルの情報、アラートが発生したエンドポイント以外に同じマルウェアが潜伏していないか(横展開の有無)、再度同様の攻撃を受けないために必要な施策など、脅威除去や回復作業に必要な情報を提供いたします。
対応にあたってご不明な点があれば、専門知識を有するアナリストがメール、電話でQ&A対応いたします。

二次レポート内容
・インシデント詳細
・危険度
・対象エンドポイント情報
・VMware Carbon Blackによる脅威ブロック状況
・アラートプロセス情報(詳細)
・不正通信先(詳細)
・エンドポイントにおける改変情報(レジストリ、ファイル)
・横展開の有無・推奨対応、対応状況(弊社で実施した封じ込め作業の実施状況)
・回復支援情報

③お客様の運用体制に合わせた柔軟なルール設定が可能
運用ルールは VMware Carbon Black のポリシーごとにご指定頂けます。
危険度やアラート発生時間帯だけでなく、エンドポイントの用途(PC、サーバ、業務システムなど)や、ご利用者の属性などに合わせて、連絡先や即時隔離の有無、レポートの言語(日英対応)など、お客様の運用体制に応じた柔軟な運用ルールで対応させていただきます。
運用開始後のルール変更や連絡先変更も、回数無制限で随時対応いたします。

④外部インテリジェンスやアナリスト知見を活用したプロアクティブな対応をサポート
アナリストが優先付けしたITハイジーン情報の提供や、外部インテリジェンスを活用した脅威ハンティングやデジタルリスクの監視により、実被害が発生する前の対応実施をサポートします。

プロアクティブ

対応概要DH-MDRサービス
提供概要
対応する
サービスメニュー対応
エンドポイント上のOSやソフトウェアの脆弱性や、攻撃に悪用されうる設定などに対し、セキュリティアップデートや安全な設定への変更作業などを実施し、攻撃手段を封じて脅威の侵入を事前に抑止する対応組織内のエンドポイントで確認された攻撃によく利用される脆弱性や設定情報を提供。
→より汎用的な攻撃抑止施策の実施・検討をサポート(施策実施はお客様)
ITハイジーン
デジタルリスクの監視
エンドポイント内に潜んでいる脅威を、セキュリティ侵害インジケーター(IOC:indicator of compromise)を使って見つけ出し、攻撃が開始される前に脅威を除去する対応組織のエンドポイントのログからアラート化されていない脅威を検出し、情報を提供。
エンドポイント内に脅威がある場合は、脅威除去支援や回復支援も実施。
脅威ハンティング
脅威除去支援
回復支援

リアクティブ

対応概要DH-MDRサービス
提供概要
対応する
サービスメニュー対応
エンドポイント内で検知された攻撃活動のアラートを起点にした対応MDRサービスにより、一連のアラート対応(アラート解析、エンドポイントの隔離、脅威除去支援、回復支援)を実施。アラート解析
脅威の封じ込め
脅威除去支援
回復支援

対応EDR

① VMware Carbon Black Cloud

② CrowdStrike Falcon

③ Trellix Endpoint Security (HX)

EDR導入実績

導入実績 合計670,000

※2023年6月末時点

情報セキュリティサービス基準に適合

サービス登録番号 : 022-0005-40

DH-SOC マネージドセキュリティサービス

特定非営利活動法人 日本セキュリティ監査協会(JASA)

セキュリティ監視運用サービス

https://sss-erc.org/iss_books/022-0005-40/

お役立ち資料

本資料では、サービス概要や特徴、流れ等について詳しくまとめています。サイバーセキュリティ対策にお悩みの方は是非ご覧ください。

セキュリティイベント・セミナー情報

AGESTでは、セキュリティに関するイベントやセミナーを随時開催しております。
一覧はこちら