VMware Carbon Blackはヴイエムウェア株式会社(本社はアメリカ カリフォルニア州)が販売しているセキュリティ製品です。
VMwareのエンドポイントセキュリティ製品は主に、EPP・EDRの機能としての「VMware Carbon Black Endpoint」、デジタルワークスペース全体での情報統合をおこなう「Workspace ONE Intelligence」、オンプレミスの脅威ハンティングとインシデント対応をおこなう「VMware Carbon Black EDR」から構成されています。
その中でも基本的なエンドポイント保護を行うのが「VMware Carbon Black Endpoint」となります。
| 販売元(国内) | ヴイエムウェア株式会社 |
| EPP機能 | ○ |
| EDR機能 | ○ |
| 運用コスト | △ |
| オンプレミス利用 | △ |
| Gartner EDRの口コミ評価 | 4.5 |
| MITRE ATT&CK 検知率(Visibility) | 88.5% |
| 製品ページ | こちら |
アピールポイント
「VMware Carbon Black Endpoint」の製品の特徴として、4つを挙げています。
- エンドポイント保護の近代化
サイバー犯罪者は常に戦術を更新しており、予防に対する従来型のアプローチだけでは防ぎ切ることができない攻撃に対応できるエンドポイントプラットフォーム
- 攻撃者による従来型エンドポイントセキュリティの回避への対応
今日のサイバー攻撃に使用される戦術(ラテラルムーブメント、アイランドホッピングなど)はダークウェブ上で販売されており、容易に利用されてしまう。そういった攻撃に対応するための製品
- 望ましい状態、問題がある状態、または未知の(疑わしい)アクティビティの識別
正常な振舞いに見せかけて侵入する攻撃者の阻止のために、エンドポイントのアクティビティに関するデータを継続的に収集し、分析できるアプローチ
- セキュリティスタックの簡素化
さまざwまなエンドポイントセキュリティ機能を単一のエンドポイントエージェントおよびコンソールに統合
機能・効果
どのような機能・効果があるかについても以下のようにまとめられています。
- エンタープライズクラスのウイルス対策
高度な制御と可視性を提供しつつ、一元化されたコンソールから任意のエンドポイントの復旧を実行させるなど、セキュリティスタックを統合および簡素化できる
- ダウンタイムの低減
クラウドネイティブソリューションにより、高度な攻撃に対する防御機能を迅速に提供し、ダウンタイムを削減する
- セキュリティ運用センター(SOC)の強化
高度な検知機能により効率的に脅威ハンティングを行うことが可能
- 業界の要件への準拠
各業界の要件に準拠するエンドポイント、アプリケーション、デバイス保護のソリューションによりサイバーキルチェーン全体に対して制御を確実に実行
- ランサムウェアに対する防御
ランサムウェア攻撃の発生に関連するイベントのストリームの監視などにより、あらゆる種類のランサムウェアを、重要なファイルや共有ファイルが攻撃される前に特定・阻止
Gartner Magic Quadrant 2021 for Endpoint Protection Platformsでの評価(抜粋)
位置づけ:ビジョナリー
2019年にカーボンブラックの買収を完了。この追加により、エンドポイント、ネットワーク、およびクラウドのワークロード全体でセキュリティをカバー。VMwareは、SIEMおよびSOARベンダーとの高度な次世代SOCアライアンスなど、パートナーエコシステムでも大きく進歩。
投資は、CarbonBlackを既存のVMware仮想化ソリューションに組み込むこと、およびCarbonBlackを単一のクラウドホストコンソールとデータレイクに基づくVMwareが拡大するセキュリティツールのポートフォリオと統合することに重点を置いている。
【強み】
- 4つのコアEPP機能すべてを単一のエージェントで提供し、使いやすい管理コンソールと簡素化された展開エクスペリエンスが高く評価されている。
- EPP、EDR、エンドポイントクエリ、および修復を含む複数のユースケースに対応するクラウドネイティブコンソールとシングルエージェントアプローチを提供。 インシデント対応の高度なEDRに使用されます。 カーボンブラックは、親VMwareの新しい所有権の下での実行可能性と運用に関して高い評価を受けています
- Lastline(サンドボックスおよび侵入検知システム[IDS])とOctarine(クラウドワークロード保護プラットフォーム[CWPP])の買収は、クラウドワークロード保護機能の構築に役立つ。
- VMware Carbon Blackは、優れたテレメトリと一貫した技術の識別により、MITREフェーズ2評価で肯定的な結果を達成。
【注意事項】
- VMwareの一連の製品は、特に最新の買収により、この調査の主要なソリューションの同等のプラットフォームほど長く確立されていない。
- VMwareは最近、仮想化されたワークロードのカバレッジを追加し、コンテナのサポートも追加したが、サーバーレスワークロードをカバーする計画はまだ未発表。
- オンプレミスバージョンは、最新のクラウドホストソリューションほど高度ではなく、残りの少数の顧客をこれらから移行する途中。
- WorkspaceONEなしで本製品を使用する場合、保護されていないデバイスの検出、ホストファイアウォール設定/インターネットURLフィルタリングの管理、自動プレイブックなどの管理および保護機能が不足している。
MITRE ATT&CK 2020 Carbanak and FIN7 Evaluationの結果
| Detection Count(検出総数) The total number of detections from the evaluation: 評価から検出した総数 | 278/174 |
| Analytic Coverage(分析範囲) The proportion of substeps that contained a detection that provides additional context(e.g., General,Tactic,Technique): 検出のうち追加のコンテキストを含むサブステップの割合 | 90/174 |
| Telemetry Coverage(複数のセキュリティレイヤーのカバー) The proportion of substeps that produced a detection with minimal processing: 最小限の処理で検出を生成したサブステップの割合 | 152/174 |
| Visibility(可視性) The proportion of substeps with either an analystic or a telemetry detection: 分析またはテレメトリ検出のいずれかを使用したサブステップの割合 | 154/174 |