簡易に標的型攻撃対策と証跡確保が可能となりました。【ITreview】IT製品のレビュー・比較サイト

EDRで利用

この製品・サービスの良いポイントは何でしょうか？

EDRと次世代型アンチウィルス(NGAV)の複合製品で、クラウド管理で比較的容易に導入可能です。
ユーザー配備が簡易でクライアント端末への負荷をほぼ感じません。管理画面も日本語化されていませんが直感的に操作可能です。
EDR的な要素で特筆すべきは端末の動作ログが詳細に保存されており、それが串刺しキーワード検索で簡単に確認できることです。
端末管理機能も「Live Response」という強力な(強力すぎる？)機能があり、コマンドラインでファイル捜索、消去、バッチ実行などが可能で、かなりの操作が管理画面から可能です。
NGAV的な要素では、ビッグデータから生成されたレピュテーションをベースとしたポリシー設定を元にブロックが行われるので、
未知のマルウェアをブロックすることが可能です。
ただし、ポリシーを厳しくすると過検知はやはり増えますので、継続的な確認が必要と感じており、
完璧を求めて運用すると相当な負荷の高さを感じます。
割り切ってある程度以上のアラートのみ調査を行い、そのほかの検知はユーザー申告がない限りは
スルーするというのが現実的な運用と感じています。

改善してほしいポイントは何でしょうか？

元々、NGAVとEDRとして別々の製品を組み合わせてクラウド化しているので、不便な点が残っているように見える。
【改善希望１】
クライアントPCでブロックが実際に行われた際にポップアップ通知が表示されて、タスクトレイのアイコンからブロック履歴が確認できるのだが、
ブロックの理由によってそれが行われないことがあり、ユーザーがPC操作が上手く行かなかった際にそれがCb Defenseが原因だったかを確認することができない。ユーザー業務に無駄な作業が発生してしまう恐れがあるので、100％表示できるようにしてほしい。
【改善希望２】
エンドポイントのユーザー名が、センサーインストール時のユーザー名で固定されてしまっているが、PC利用者が変わっている場合にユーザー名から確認できなくなるので、センサーと通信した際のログインユーザー名でこまめに更新されるようにしてほしい。
管理者が調査する際、デバイス名よりもユーザー名で検索できる方がはるかに便利。

どのようなビジネス課題を解決できましたか？あるいは、どのようなメリットが得られましたか？

最新の標的型攻撃やランサムウェアを防御できる期待値が高い。セキュリティパッチは可能な限り充てるようにしているが、
穴があったとしてもこの製品で多層防御できている安心感がある。
仮にクラッカーの侵入を許したとしても、クラッカーがログ消去絶対不可能なクラウド上にPC挙動がすべて
記録されているので、フォレンジックサービスを利用する際に高精度の証跡を提出することができるようになった。
EDRの検索機能が強力なので、自社で分かる範囲で調査しても色々なことが分かり、
インシデント時ではなくても様々な気付きがある。(資産管理ソフトの方がファイル操作などの確認は楽ですが、
この製品の検索の方が弊社環境でははるかに速く、気軽に調査が可能です)

検討者にお薦めするポイントがあれば記入ください

PoCを申し込んで実際に運用中のクライアントPCに配備するとEDR機能が試せるので、まずはそちらがお勧めです。
クラウド型サービスですので、危険なNGAV機能検証については実運用環境と同時に、分離して利用することが簡単に可能です。

続きを開く