EDR

CrowdStrike Falcon Enterprise(クラウドストライク) EDR製品評価

CrowdStrike Falcon Enterpriseについて

CrowdStrike Falcon EnterpriseはCrowdStrike社が販売しているNGAV・EDRソフトウェアです。
製品は構成としていくつかに分かれており、防御の範囲や防御手法によって製品構成を選ぶことができます。

販売元(国内)クラウドストライク株式会社
EPP機能
EDR機能
運用コスト
オンプレミス利用
Gartner EDRの口コミ評価🔗4.8
Mitre Attack 検知率(Visibility)🔗約87.36%
製品ページこちら🔗

製品構成

1.Falcon Pro NGAV(次世代アンチウイルス)

2.Falcon Enterprise 1+エンドポイント検知・対応

3.Falcon Premium 2+エンドポイント検知・対応+IT資産管理

4.Falcon Complete 3+脅威ハンティング+MDR

製品のグレードを上げると基本機能が増え、選択できるオプションも増える仕組みです。
低いグレードでもオプションとして選択できるものもありますが、オプション追加ごとに料金も加算されます。EPP+EDRの最小構成としては「Falcon Enterprise」となります。

Enterpriseにデフォルトで含まれる機能を見てみます。

FALCON PREVENT

クラウドネイティブなNGAVソフトです。
既存のAVソフトの後継ともいえるものです。
特徴とされる4つの情報を抜粋します。

1.最先端の防御

  • 機械学習とAIが、既知および未知のマルウェア、ランサムウェアを検知振る舞い検知で
    ファイルレス攻撃を防御
  • エクスプロイト・ブロックで脆弱性をついた脅威を阻止
  • 脅威インテリジェンスを活用し、悪意があると知られているアクティビティをブロック

2.攻撃の可視化

  • 豊富なコンテキストと脅威インテリジェンスで強化されたプロセス・ツリー
  • MITRE ATT&CKフレームワークに基づいて戦術・技術を特定

3.あらゆるものを網羅した保護

  • Windows、Windows Server、macOS、Linuxなどのプラットフォームに対応
  • オンライン/オフラインを問わず防御

4.軽量かつ高速でシンプル

  • シグネチャの更新不要、軽量なエージェント、最小限のCPU負荷

FALCON INSIGHT

エンドポイントの可視性を実現し、検知から対処、フォレンジックまでのすべてを網羅

1.リアルタイムの可視性

  • 常時エンドポイントの振る舞いを記録

2.検知と対処の簡素化

  • 攻撃者のアクティビティを自動検知
  • リモートアクセスによるネットワーク隔離や調査などの対処が可能
  • アラート内容をMITRE ATT&CKフレームワークに沿って表示

3.効果的なセキュリティ対応

  • 複数のアラートを自動的にまとめ、順位付けする

4.クラウドの力

  • 端末に影響を与えずエージェントのインストールが可能
  • 情報の分析や検索はすべてクラウド側でおこなうため、端末のパフォーマンスに対する影響は最小限

また、このグレードで選択できるオプションには、下記の製品があります。

・Falcon X(脅威インテリジェンス)

・Falcon Device Control(リムーバブルメディアの保護)

・Falcon Firewall Management(ホストファイアウォール統合管理)

・Falcon Overwatch(脅威ハンティング)

Gartner Magic Quadrant 2021 for Endpoint Protection Platformsでの評価(抜粋)

【位置づけ】
 リーダー

高度な脅威を特定して修正するための検出および応答機能に焦点を当てたEDR製品が含まれています。
ただし、既知の脅威から保護するために静的および動作MLを悪用するファイルベースのマルウェア防止機能も備えています。
CrowdStrikeは、主に北米とEMEAに存在します。 製品はタイプAおよびタイプBの組織に適しており、セキュリティスタッフがいないタイプCの組織がマネージドサービスを利用するためのオプションがあります。
部分的または完全に管理されています。

【強み】

  • 単一のエージェントですべてのコアEPP機能を提供
  • 使いやすい管理コンソールと簡素化された展開エクスペリエンス
  • FalconX脅威インテリジェンスとThreatGraphクラウドベースのデータ分析は、高度な脅威を検出し、ユーザーとデバイスのデータを分析して異常なアクティビティを特定
  • 戦術と技術を一貫して特定し、MITREフェーズ2の評価で肯定的な結果を達成

【注意事項】

  • すべての機能を提供するために追加のコストオプションが必要になることが多く、より包括的な競合ソリューションと比較した場合、全体的なコストが増加する。
  • 複数年契約の場合、CrowdStrikeは前払いが必要。
  • Threat Graph Standardは、センサーデータの保持期間が標準オプションでわずか7日間(他の参加者のデフォルトの保持期間よりも短い、アドオンとしてより長い保持オプションを利用可)
  • サーバーレスクラウドシステムのセキュリティとコンテナワークロードのランタイム保護機能:2021年2月に発表
  • Preempt Securityの買収と、Proofpoint、Netskope、Oktaとの新しいパートナーシップにもかかわらず、CrowdStrikeのプラットフォームはまだ強力なXDRソリューションとは見なされていない。
  • ただし、CrowdStrikeは最近、XDRストーリーを強化するHumioの買収を発表。

MITRE ATT&CK 2020 Carbanak and FIN7 Evaluationの結果

Detection Count(検出総数)
The total number of detections from the evaluation:評価から検出した総数
231/174
Analytic Coverage(分析範囲)
The proportion of substeps that contained a detection that provides additional context(e.g., General,Tactic,Technique):検出のうち追加のコンテキストを含むサブステップの割合
64/174
Telemetry Coverage(複数のセキュリティレイヤーのカバー)
The proportion of substeps that produced a detection with minimal processing:最小限の処理で検出を生成したサブステップの割合
141/174
Visibility(可視性)
The proportion of substeps with either an analystic or a telemetry detection:分析またはテレメトリ検出のいずれかを使用したサブステップの割合
152/174