CrowdStrikeを活用した安価なMDRサービス|X-SOC MDRサービス for CrowdStrike

特徴

X-SOC for CrowdStrikeサービスの特徴は以下の通りです。

  • CrowdStrike Falconでお客様の端末 (PC、サーバー) を24時間365日で監視します。
  • CrowdStrike Falconで検知したアラート (セキュリティ インシデントまたはその予兆) を当社SOCアナリストが分析し、セキュリティリスクを判断し、対応が必要なアラートに絞ってお客様に通知します。
  • 当社SOCアナリストが対応が必要と判断したアラートに対して、ネットワーク隔離などの必要な対応を能動的に実施します。
  • お客様環境で発生したセキュリティリスクを月次報告書としてご報告します。


サービスイメージ

お客様環境で発生したセキュリティの脅威をCrowdStrike Falconで検知し、SOCアナリストによる調査・分析した結果、対応が必要なセキュリティインシデントに対してプロアクティブに対応します。

以下の図は、「セキュリティインシデント検知サービス」と「セキュリティインシデント対応サービス」の両方を契約した場合のサービスイメージです。


以下の図は、「セキュリティインシデント検知サービス」のみを契約した場合のサービスイメージです。



サービスメニュー

X-SOC for CrowdStrikeサービスは、以下のサービスをご提供します。

項目 サービス 説明
セキュリティインシデント
検知サービス (Detection)
CrowdStrike Falconアラート受信 CrowdStrike Falconマネージャーが通知したアラートをお客様に代わって受信します。
アラート通知作成 CrowdStrike Falcon マネージャーが通知したアラートのSeverityに基づき、SOCアナリストが脅威度合を確認してアラート通知内容を作成します。
なお、「セキュリティインシデント検知サービス」のみを契約している場合は、作成したアラート通知内容をお客様に通知します。
「セキュリティインシデント検知サービス」と「セキュリティインシデント対応サービス」の両方を契約している場合は、セキュリティインシデント対応サービスと連携して通知します。
エンドポイントログ分析 アラートを元に SOCアナリストが、脅威の詳細を調査・分析し、対応が必要かどうか判断します。
推奨対応の提示 エンドポイントログの分析結果と、対応が必要な脅威を排除するための推奨対応を提示します。
なお、「セキュリティインシデント検知サービス」のみを契約している場合は、推奨対応をお客様に通知します。
「セキュリティインシデント検知サービス」と「セキュリティインシデント対応サービス」の両方を契約している場合は、セキュリティインシデント対応サービスとの連携でお客様への通知を行います。
また、エンドポイントログ分析結果に応じた対応もセキュリティインシデント検知サービスと連携し、お客様側への対応依頼等を促すように致します。
月次レポート (検知サマリ) 作成 対応が不要だった脅威や、Severityが低い脅威などを含め、お客様環境で発生したセキュリティリスクについて、レポートを月に1回作成します。
なお、「セキュリティインシデント検知サービス」と「セキュリティインシデント対応サービス」の両方を契約している場合は、両方の月次レポートをまとめて作成します。
項目 サービス 説明
セキュリティインシデント対応サービス (Response) プロアクティブレスポンス SOCアナリストの判断で対処が必要と判断した場合、
SOCアナリストが提示した推奨対応をお客様に代わって実施します。※1
アラート通知連絡 SOCアナリストが作成したアラート通知内容をお客様に連絡します。
なお、SOCアナリストの判断で対処が必要と判断した場合、プロアクティブレスポンスの結果を含めて通知します。
推奨対応通知連絡 SOCアナリストがエンドポイントログ分析後に作成した推奨対応提示内容をお客様に通知します。
問合せ受付・回答 発生したアラートや本サービスに対するお客様からのお問合せを受付けて、回答します。
PCR:ホワイトリスト登録 過検知・誤検知のアラート等をお客様の申請に基づき、ホワイトリストへ登録します。※2
PCR:ブラックリスト登録 お客様の申請に基づき、ブラックリストへ登録します。※3
チケット管理 セキュリティインシデント、PCR、問合せのそれぞれについて、発生から完了までの対応状況を管理します。
月次レポート (対応サマリ) 作成 セキュリティインシデント対応サービスの対応状況について、レポートを月に1回作成します。

※1CrowdStrike Falconマネージャーから操作できる対応に限ります。

※2申請内容にサービス低下が懸念される場合には、ポリシー反映をお断りする場合があります。

※3ブラックリスト登録を理由に検知したアラートに対して、脅威度は付与されません。


SLO(サービスレベル目標)

X-SOC for CrowdStrikeサービスのSLO (サービスレベル目標) は以下の通りです。

項目 SLO 開始 終了
サービス提供時間 24時間365日 - -
アラート通知連絡 30分以内※1 CrowdStrikeのアラート受信時間 セキュリティインシデント通知連絡メール送信時間
プロアクティブレスポンス (初動対応) 60分以内※3 CrowdStrikeのアラート受信時間 初動対応完了メール送信時間
PCR:ホワイトリスト登録 1営業日※3 申請受領 設定変更完了メール送信時間
or
設定不可連絡メール送信時間
PCR:ブラックリスト登録※4 120分以内 申請受領 設定変更完了メール送信時間
月次レポート作成・送付 5営業日 レポート対象月の翌月の起点日※5 レポート対象月の翌月の起点日+5営業日

※1プロアクティブレスポンスを実施しないエンドポイントログ分析前のお客様へのアラート通知になります。

※2対処が必要な端末台数が多い場合など、SLOを超えることがあります。

※3ホワイトリストの内容によっては、メーカーと連携が必要なケースもありSLOを超えることがあります。 また、ホワイトリストに登録できない場合もあります。

※4CrowdStrike Falcon Preventの契約が必要です。

※5起点日は、サービス契約時に取り決めた月の始まりとなる日です。この起点日から翌月の起点日の前日までを1ヶ月間として扱います。現在の日付が「7月1日」で、起点日が「1日」である場合、月次レポート作成は「7月1日」から開始し、5営業日後に月次レポートを送付します。なお、レポート対象期間は、「6月1日~6月30日」で、レポート対象月は「6月」になります。


料金

お問い合わせください。