自動化による迅速な対処・通知を行う
X-SOC IR-Core for CrowdStrike
特徴
X-SOC IR-Core for CrowdStrikeサービスの特徴は以下の通りです。
- CrowdStrike Falconでお客様の端末 (PC、サーバー) を24時間365日で監視します。
- CrowdStrike Falconで検知したアラート (セキュリティインシデントまたはその予兆) を解析ツールであるIR-Coreが脅威DBを基に判定を実施し、判定結果に応じて対象端末へ隔離処理を自動的に実施し、対処・分析結果を通知します。
- 対応実績を月次レポートとしてご報告します。
サービスイメージ
X-SOC IR-Core for CrowdStrikeサービスをご契約した場合のイメージは以下の通りです。
- お客様の端末に導入したCrowdStrike FalconのエージェントからCrowdStrikeサーバーに対し、ログを送信します。
- IR-CoreからCrowdStrikeサーバーへログおよびアラートのチェックを行います。
- IR-Coreにより、ログおよびアラートを分析し、脅威判定を行います。
- 脅威有の場合、自動的に該当の端末に対しネットワーク隔離を行います。
- お客様に対し、分析結果および対応結果をメールにて通知します。
サービスメニュー
X-SOC IR-Core for CrowdStrikeサービスは、以下のサービスをご提供します。
| 項目 | サービス | 説明 | ||
|---|---|---|---|---|
| インシデント対応※1※2 | アラート分析 | お客様に代わり、CrowdStrikeFalconが生成するアラートをIR-Coreにて分析します。 | ||
| 隔離対応 | CrowdStrike Falconのアラートをトリガーに、IR-Coreがログ、アラートを調査、分析し脅威度判定を実施します。 脅威があると判定された場合、対象端末に対しての自動隔離処理を実施します。 |
|||
| セキュリティインシデント通知連絡 | 分析により脅威と判定されたアラートについて、分析結果及び対応事項を記載し、お客様へ通知いたします。 | |||
| チューニング対応 | 過検知/誤検知のアラートを、ファイルや振る舞いについて判断の上、ホワイトリストへ登録します。 以降、登録したリストに合致するアラートは通知されなくなります。 |
|||
| ホワイトリスト登録※3 | ホワイトリスト登録 | お客様の申請に基づき、ファイルや振る舞いについて判断の上、ホワイトリストへ登録します。 以降、登録したリストに合致するアラートは通知されなくなります。 |
||
| 製品に関するお問い合わせ対応※4 | お問い合わせ対応 | サービス内容や製品に関するお問い合わせに対して、回答します。 | ||
| 定期報告 | 月次レポート | お客様環境で発生したセキュリティインシデントの対応を取りまとめたレポートを毎月1回作成し、送付を行います。 | ||
※1 Falcon Prevent(NGAV)、Falcon Insight(EDR)、Threat Graph(生ログ保存)のライセンスが必須となります。
※2 CrowdStrikeの設定において、脅威を自動的に対処するポリシーでの運用が前提となります。
※3 ホワイトリスト登録対応については、1申請につき最大10件までの登録とさせていただきます。
10件を超過する登録が必要な場合、新たに1件として受付けます。
※4 製品のお問い合わせについては、ライセンスを弊社から導入されているお客様に限り対応いたします。
SLO (サービス目標)
X-SOC IR-Core for CrowdStrikeサービスのSLO は以下の通りです。
| 項目 | SLO | 開始 | 終了 |
|---|---|---|---|
| サービス提供時間 | ツールによる自動分析・隔離および通知:24時間/365日 | - | - |
| メール受付/回答:平日9:00-17:00 | - | - | |
| セキュリティインシデント通知連絡 | 30分以内 | アラート取得※1 | セキュリティインシデント通知連絡メール送信 |
| ホワイトリスト登録※2 | 1営業日 | 申請受領 | 設定変更完了メール送信 or 設定不可連絡メール送信 |
| 月次レポート作成・送付 | 毎月25日送付 | - | - |
※1 弊社IR-Coreがアラートを取得した時間を指します。
※2 ホワイトリストの内容によっては、ホワイトリストに登録できない場合や、メーカーと連携が必要となりSLOを超えることがあります。
料金
お問い合わせください。
