WithSecureを活用した安価なMDRサービス
X-SOC MDRサービス for WithSecure
特徴
X-SOC for WithSecureサービスの特徴は以下の通りです。
- WithSecure Elements EDRでお客様の端末 (PC、サーバー) を24時間365日で監視します。
- WithSecure Elements EDRで検知したアラート (セキュリティ インシデントまたはその予兆) のセキュリティリスク脅威度を自動判定し、深刻レベルのアラートが発生した際、当該端末をN/Wから自動隔離した後、インシデント発生と事象概要をお客様に通知します。
- より詳細なインシデント解析が必要な場合、WithSecure(メーカ)と連携してインシデントの要因と対処方法を報告します。
- 当社SOCオペレータが深刻アラートの検知によりN/W隔離された端末に対して、お客様との確認・調整の基で必要な対応を能動的に実施します。
- お客様環境で発生したセキュリティリスクを月次報告書としてご報告します。
サービスイメージ
お客様環境で発生したセキュリティの脅威をWithSecure Elements EDRで検知し、深刻レベルのアラートによる隔離された端末に対し、SOCオペレータがWithSecureと連携して解析を行い、セキュリティインシデントに対してプロアクティブに対応します。
以下の図は、「セキュリティインシデント対応サービス」を契約した場合のサービスイメージです。
サービスメニュー
X-SOC for WithSecureサービスは、以下のサービスをご提供します。
| 項目 | サービス | 説明 |
| セキュリティインシデント対応サービス (Response) | プロアクティブレスポンス | お客様との確認の基、SOCオペレータによるリモート対処が必要と判断された場合、SOCオペレータが提示した推奨対応、またはWithSecureとの連携解析結果と対処方法を基に、お客様に代わって実施します。※1 |
| アラート通知連絡 | 「深刻」「高」レベルのインシデント発生通知メールをご登録頂いているご担当者様のメールアドレスに通知します。 | |
| 推奨対応通知連絡 | インシデント概要と共に、想定要因を付帯情報として記載通知します。インシデントレベル「深刻」「高」に対し、原因特定不可、誤検知・過検知の判断ができない、もしくはマルウェアの可能性が有る対処方法不明の場合、メーカへ詳細解析依頼を行います。 | |
| 隔離解除 | 誤検知・過検知が原因だった場合、またはお客様の要請・承認に基づいて、自動隔離した端末の隔離解除を行います。WithSecureとの連携解析結果でインシデント脅威が無いと判断された場合も同様に隔離解除をおこないます。 | |
| 問合せ受付・回答 | 発生したアラートや本サービスに対するお客様からのお問合せを受付けて、回答します。 | |
| PCR:ホワイトリスト登録 | 過検知・誤検知のアラート等をお客様の申請に基づき、ホワイトリストへ登録します。※2 | |
| チケット管理 | セキュリティインシデント、PCR、問合せのそれぞれについて、発生から完了までの対応状況を管理します。 | |
| 月次レポート (対応サマリ) 作成 | セキュリティインシデント対応サービスの対応状況について、レポートを月に1回作成します。 |
※1WithSecure Elements EDR管理コンソールから操作できる対応に限ります。
※2申請内容にサービス低下が懸念される場合には、ポリシー反映をお断りする場合があります。
SLO(サービスレベル目標)
X-SOC for WithSecureサービスのSLO (サービスレベル目標) は以下の通りです。
| 項目 | SLO | 開始 | 終了 |
|---|---|---|---|
| サービス提供時間 | 24時間365日 | - | - |
| アラート通知連絡 | 2時間以内※1 | WithSecureのアラート受信時間 | セキュリティインシデント通知連絡メール送信時間 |
| プロアクティブレスポンス (初動対応) | 2時間以内※2 | WithSecureのアラート受信時間 | 初動対応完了メール送信時間 |
| PCR:ホワイトリスト登録 | 5営業日※3※4 | 申請受領 | 設定変更完了メール送信時間 or 設定不可連絡メール送信時間 |
| 月次レポート作成・送付 | 10営業日 | レポート対象月の翌月の起点日※5 | レポート対象月の翌月の起点日+5営業日 |
※1プロアクティブレスポンスを実施しないエンドポイントログ分析前のお客様へのアラート通知になります。
※2対処が必要な端末台数が多い場合など、SLOを超えることがあります。
※3ホワイトリストの内容によっては、メーカーと連携が必要なケースもありSLOを超えることがあります。 また、ホワイトリストに登録できない場合もあります。
※4WithSecure Elements EDR Elevate to F-Secureの契約が必要です。
※5起点日は、サービス契約時に取り決めた月の始まりとなる日です。この起点日から翌月の起点日の前日までを1ヶ月間として扱います。現在の日付が「7月1日」で、起点日が「1日」である場合、月次レポート作成は「7月1日」から開始し、5営業日後に月次レポートを送付します。なお、レポート対象期間は、「6月1日~6月30日」で、レポート対象月は「6月」になります。
料金
お問い合わせください。