インシデントディテクション&リカバリー

インシデントディテクション&リカバリー(IDR)サービスでは、PwCサイバーサービスのアナリストが各種EDR製品を活用し、NIST SP800-61のインシデント対応ライフサイクルに準拠して、「脅威検知」、「脅威分析」、「脅威封じ込め」、「脅威除去支援」、「回復支援」を提供します。

EDRを活用することで、PC端末などのエンドポイントで起きているアクティビティ(ファイルやプロセスの挙動、レジストリ変更、通信情報など)を分析し、サイバーキルチェーンの一連の攻撃プロセスをつなぎ合わせて調査のスピードや正確性を向上し、拡散範囲の特定などが可能となります。

また、エンドポイントでしか見つからない不正なアクティビティ(一例:暗号化/難読化された通信や自己消去型マルウェアなど)を独自に検知し、強制停止や遮断、無効化するコントロールも可能です。

さらに、既知の脅威を効果的に自動防御することに優れた従来セキュリティ対策(NGFWやIPS、SandBox、EPPなど)と、主に標的型攻撃のような未知の脅威に対する追跡調査などにベネフィットがあり実害を未然に防ぐEDRを組み合わせることで、非常に強固なセキュリティ対策を実現できます。

 

サービス内容

1. 脅威検知

グローバル脅威情報を基にファイルハッシュ値や独自アノマリールール、IOCを作成・提供することで、既存ウイルス対策ソフトなどではカバーが難しい未知の脅威(新種マルウェアなど)を検知します。

脅威検知

2. 脅威分析

脅威検知情報を基に「EDR製品を使用した“エンドポイント(端末)”での詳細分析」を行い、検知端末の被害状況/原因の即時把握、他端末やサーバへの被害拡散の迅速な確認などの分析支援を実施いたします。

脅威分析

3. 脅威封じ込め

脅威分析の結果に基づく封じ込め(不正と判定されたプロセスやファイル、レジストリ、サービスの停止・無効化など)の提案を行い、封じ込めの対処における助言なども併せて実施いたします。

脅威封じ込め

4. 脅威除去支援

封じ込めによって被害の最小化を図りつつ、脅威分析によって特定された被害要因(新種マルウェア感染など)の除去支援を行います。また、脅威が組織内から除去完了された確認するために、一定期間(基本1カ月)における不正な挙動(マルウェアによる通信や亜種感染など)の検知モニタリング設定・監視のチューニングについて、適切な手法を提案します。

脅威除去支援

5. 回復支援

脅威分析の結果に基づき、特定された脆弱性に関する修正プログラムなどの情報を提供し、同様な攻撃からの被害抑止対策を提案します。さらに、お客様が実施したパッチ適用状況の確認手法についての技術支援をいたします。

回復支援

対象EDR製品

  • Microsoft Windows Defender Advanced Threat Protection (ATP)
  • TANIUM
  • Soliton InfoTrace Mark II for Cyber
  • RSA NetWitness Endpoint
  • Cybereason
  • Cisco AMP for Endpoints

※上記製品の最新メジャーバージョンのみサポート対象

主要メンバー

星澤 裕二

パートナー, PwCサイバーサービス合同会社

Email

名和 利男

PwCサイバーサービス合同会社 最高技術顧問, 東京

Email

Contact us