脅威除去から再発防止施策支援まで
一貫サポートするEDR監視サービス
サイバーセキュリティに関する専門知識を持つ当社セキュリティオペレーションセンター(DH-SOC)のアナリストによる各種EDR(Endpoint Detection and Response)のマネージドサービス=DH-MDR(Managed Detection & Response)を提供します。エンドポイントにおけるインシデントのアラートは弊社SOCで受信し、エンドポイントの隔離や、マルウェア除去などの脅威除去支援、再発防止施策支援まで、一貫して対応いたします。また、脅威ハンティングやITハイジーン、デジタルリスクの監視により、潜在的なリスクへの事前対応もサポートいたします。
EDR監視 基本対応メニュー
| メニュー | 概要 | 対応 |
|---|---|---|
| アラート解析 | 受信したアラートに関するインシデントのログを解析し、危険度の判定と早期対応に必要な情報を提供します。 ・初期対応に必要な情報を含む一次レポート:アラート受信後60分以内に送付 ・詳細なアラート解析結果を含む二次レポート:アラート受信の翌営業日以内に送付 | アラート対応 (一次・二次) |
| 脅威の封じ込め | エンドポイントのネットワーク隔離を遠隔で実施します。 | アラート対応 (一次・二次) |
| 脅威除去支援 | マルウェアの駆除など、エンドポイントに残存する脅威の除去作業を支援します。 | アラート対応 (二次) |
| 回復支援 | セキュリティパッチ情報の提供など、再発を抑止するための施策を支援します。 ご利用のファイアウォールやプロキシなど、VMware Carbon Black以外のセキュリティ製品での推奨対応の作業代行も可能です。 ※対象製品/サービスへのアクセス許可が必要となります。 | アラート対応 (二次) |
| 脅威ハンティング | 組織内に侵入・潜伏している未検知の脅威を検出します。 | 随時対応 |
| ITハイジーン | Vulnerabilitiesを利用して、リアルタイムのインベントリや脆弱性などを月1回報告します。 ※Vulnerabilities機能が利用できるライセンスの場合 | 随時対応 |
| デジタルリスクの監視 | CYFIRMA社の「DeCYFIR™」を利用して、ご登録いただいた情報についてDark Webを含むWeb情報を監視し、脅威リスクのある検索結果を報告します。 | 随時対応 |
| 月次レポート | セキュリティ侵害検知状況、脅威ハンティング実施結果、最新のセキュリティ関連情報のレポートを月1回提供します。 | 随時対応 |
※導入するEDRに応じて対応可能なメニューが異なる場合があります
サポート窓口
受付時間:24時間365日
受付方法:メール、電話、Slack、Teams、カスタマーポータル
EDR監視の3つの特徴
①分かりやすいレポートで、的確な初期対応をバックアップ
DH-MDRサービスでは、アラート受信後60分以内に「何が起こったか」「危険度はどのくらいか」「どう対応すればよいか」「隔離が必要かどうか」を分かりやすくまとめたレポートを提供し、的確な初期対応を支援いたします。
また、遠隔にて問題のエンドポイントをネットワークから隔離し、被害の拡大を抑止することも可能です。
一次レポート内容
・インシデント概要
・危険度
・対象エンドポイント情報
・VMware Carbon Blackによる脅威ブロック 状況
・アラート対象プロセス情報 (概要)
・不正通信先
・推奨対応
②脅威除去や回復作業まで包括的にサポート
攻撃者集団の特定や攻撃手法の特定、エンドポイントで改変されたレジストリやファイルの情報、アラートが発生したエンドポイント以外に同じマルウェアが潜伏していないか(横展開の有無)、再度同様の攻撃を受けないために必要な施策など、脅威除去や回復作業に必要な情報を提供いたします。
対応にあたってご不明な点があれば、専門知識を有するアナリストがメール、電話でQ&A対応いたします。
二次レポート内容
・インシデント詳細
・危険度
・対象エンドポイント情報
・VMware Carbon Blackによる脅威ブロック状況
・アラートプロセス情報(詳細)
・不正通信先(詳細)
・エンドポイントにおける改変情報(レジストリ、ファイル)
・横展開の有無・推奨対応、対応状況(弊社で実施した封じ込め作業の実施状況)
・回復支援情報
③お客様の運用体制に合わせた柔軟なルール設定が可能
運用ルールは VMware Carbon Black のポリシーごとにご指定頂けます。
危険度やアラート発生時間帯だけでなく、エンドポイントの用途(PC、サーバ、業務システムなど)や、ご利用者の属性などに合わせて、連絡先や即時隔離の有無、レポートの言語(日英対応)など、お客様の運用体制に応じた柔軟な運用ルールで対応させていただきます。
運用開始後のルール変更や連絡先変更も、回数無制限で随時対応いたします。
④外部インテリジェンスやアナリスト知見を活用したプロアクティブな対応をサポート
アナリストが優先付けしたITハイジーン情報の提供や、外部インテリジェンスを活用した脅威ハンティングやデジタルリスクの監視により、実被害が発生する前の対応実施をサポートします。
プロアクティブ
| 対応概要 | DH-MDRサービス 提供概要 | 対応する サービスメニュー対応 |
|---|---|---|
| エンドポイント上のOSやソフトウェアの脆弱性や、攻撃に悪用されうる設定などに対し、セキュリティアップデートや安全な設定への変更作業などを実施し、攻撃手段を封じて脅威の侵入を事前に抑止する対応 | 組織内のエンドポイントで確認された攻撃によく利用される脆弱性や設定情報を提供。 →より汎用的な攻撃抑止施策の実施・検討をサポート(施策実施はお客様) | ITハイジーン デジタルリスクの監視 |
| エンドポイント内に潜んでいる脅威を、セキュリティ侵害インジケーター(IOC:indicator of compromise)を使って見つけ出し、攻撃が開始される前に脅威を除去する対応 | 組織のエンドポイントのログからアラート化されていない脅威を検出し、情報を提供。 エンドポイント内に脅威がある場合は、脅威除去支援や回復支援も実施。 | 脅威ハンティング 脅威除去支援 回復支援 |
リアクティブ
| 対応概要 | DH-MDRサービス 提供概要 | 対応する サービスメニュー対応 |
|---|---|---|
| エンドポイント内で検知された攻撃活動のアラートを起点にした対応 | MDRサービスにより、一連のアラート対応(アラート解析、エンドポイントの隔離、脅威除去支援、回復支援)を実施。 | アラート解析 脅威の封じ込め 脅威除去支援 回復支援 |
対応EDR
情報セキュリティサービス基準に適合
■DH-MDRサービス for EDR は情報セキュリティサービス基準適合サービスです
DH-MDRサービス for EDR は、経済産業省が策定した「情報セキュリティサービス基準」に適合する情報セキュリティサービスとして「情報セキュリティサービス基準適合サービスリスト」に登録されています。
サービス登録番号:018-0057-40
DH-SOC マネージドセキュリティサービス
特定非営利活動法人 日本セキュリティ監査協会(JASA)
セキュリティ監視運用サービス
EDR導入実績
導入実績 合計550,000台以上
※2022年5月末時点