CrowdStrike脅威インテリジェンス：3つのコアソリューションの説明

CrowdStrikeとは？

クラウドベースのエンドポイントセキュリティソリューションを提供するサイバーセキュリティ企業です。主な製品はファルコン・プラットフォームで、エンドポイントの検知と対応（EDR）、脅威インテリジェンス、脅威ハンティング機能を兼ね備えています。

CrowdStrikeは、マルウェア、ランサムウェア、高度持続的脅威（APT）などのサイバー脅威から組織を保護することに重点を置いています。従来のアンチウイルスソリューションとは異なり、CrowdStrikeは、機械学習、行動分析、軽量エージェントを使用して、複数の環境にわたる脅威を検出し、対応します。

これは、CrowdStrike Falconに関する一連の記事の一部です。

CrowdStrike脅威インテリジェンス製品

CrowdStrikeは、サイバーセキュリティオペレーションに脅威インテリジェンスを提供する3つのソリューションを提供しています：Counter Adversary Operations Elite」、「Adversary Intelligence」、「Adversary Overwatch」です。

ファルコン・インテリジェンス

CrowdStrike Falcon Adversary Intelligence は脅威インテリジェンスソリューションで、攻撃を妨害する可能性のあるツールと洞察を組織に提供することを目的としています。自動化、コンテキストエンリッチメント、統合を使用して、セキュリティ対応をサポートします。

主な特徴は以下の通り：

• エンドツーエンドの自動化：セキュリティスタック全体にわたる脅威の検出、分析、対策の展開を自動化することで、対応時間を数日から数分に短縮します。
• ブランドと不正のプロアクティブな監視：ドメインのなりすまし、暴露された認証情報、流出したデータを特定することで、組織の境界を超えた可視性を向上させます。
• セキュリティ運用の簡素化：ワークフローを標準化し、対応品質を向上させるインシデント対応プレイブックのライブラリが含まれています。
• 外部からの脅威を24時間365日監視：ブランド、従業員、機密データを脅かす可能性のある悪質な活動について、オープン、ディープ、ダークウェブを監視します。
• 攻撃サーフェスの可視化と脅威モデリング：敵が支配するドメインやリスクの高いインフラをスキャンし、組織の攻撃サーフェスを縮小します。

クラウドストライク ファルコン 逆襲のオペレーション エリート

CrowdStrike Falcon Counter Adversary Operations (CAO) Eliteは、ヒューマンアナリストによる脅威インテリジェンスソリューションです。CrowdStrikeは、各組織に経験豊富なアナリストを配置し、標的型攻撃から保護するために、実用的なインテリジェンス、カスタマイズされたリサーチ、脅威ハンティングを提供します。

主な特徴は以下の通り：

• 専任アナリストによるサポート：各組織には、信頼できるアドバイザーとして、脅威インテリジェンスの提供、調査の実施、個別の脅威ブリーフィングを行うCAOエリートアナリストが割り当てられます。
• カスタマイズされた脅威インテリジェンス：アナリストが広範なインテリジェンスをフィルタリングし、敵の戦術と業界、地域、組織設定に対するリスクを特定します。
• 優先情報要件（PIR）：PIRは、情報活動を組織の目標に合致させるものである。アナリストは、インフラ、従業員、業界を標的とする脅威を監視するため、PIRの作成または既存のPIRの活用を支援します。
• プロアクティブな脅威ハンティング：アナリストが保護環境に特化したリアルタイムのカスタム脅威ハンティングを実行し、高度な侵入を検出します。
• CrowdStrike 脅威グラフの調査：アナリストは、CrowdStrike 脅威グラフを活用してグローバルなセキュリティイベントを分析し、地域または業界における侵害の指標（IOC）の流行と影響を特定します。
• デジタルリスク保護：犯罪フォーラムやソーシャルメディアなどの外部情報源を監視し、組織、ブランド、従業員、機密データに対するリスクを特定します。
• テイクダウンのサポート：フィッシングサイト、詐欺アカウント、ドメインなど、組織の評判や業務に害を及ぼす可能性のある悪質なコンテンツのテイクダウンを可能にします。
• 情報提供依頼（RFI）：組織は、脅威に関するカスタム・リサーチを依頼するために、年間5回までRFIを提出することができます。追加のRFIパックを購入することも可能です。
• 1対1の脅威ブリーフィング：アナリストは、敵対的な活動や組織または業界に対するリスクについて詳細なブリーフィングを行い、防衛戦略の精緻化を支援します。

CrowdStrike Falcon Adversary OverWatch

脅威インテリジェンスソリューションに特化したものではありませんが、脅威インテリジェンスをサービスの中核として提供します。CrowdStrike Falcon Adversary OverWatch は、人間の専門知識、AI 駆動の検知、リアルタイムの脅威インテリジェンスを組み合わせることで、敵対者を妨害するマネージド脅威ハンティングサービスです。このサービスは、エンドポイント、アイデンティティ、クラウド環境全体で活動する敵対者をターゲットとし、脅威が被害をもたらす前に特定し、無力化します。

主な特徴は以下の通り：

• エンドポイント、ID、クラウドにまたがる24時間365日の脅威ハンティング：お客様の環境を継続的に監視し、エンドポイント、IDシステム、クラウドのワークロードにまたがるギャップを悪用する脅威をハンティングします。
• AIを活用した脅威ハンティング：OverWatchチームはAIを活用し、従来の防御を回避するステルス性の高い敵対的手法を検知します。パターンを分析し、仮説検証を適用し、統計的手法を活用することで、マルウェアを使用しない侵入、内部脅威、正規ツールの悪用など、新たな攻撃ベクトルを特定することができます。
• アイデンティティとクレデンシャルの監視：このサービスは、犯罪フォーラムやその他の外部ソースで漏洩したクレデンシャルを積極的に監視します。脅威ハンターは、攻撃を阻止し、MFA チャレンジを強制し、リスクを軽減することで、ID ベースの脅威に対応します。
• クラウドに特化した脅威防御：独自のクラウドネイティブツールと可視性を活用することで、クラウドのワークロード、コンテナ、インフラストラクチャを標的とする脅威を特定します。
• リアルタイムの脅威アラートと対策：OverWatchは、敵対者が検知されると、リアルタイムでアラートを提供し、CrowdStrikeの顧客全体に新しい検知を即座に展開します。
• 運用コストと労力の削減：社内の脅威調査スタッフの必要性を最小限に抑え、新たな脅威の調査やアラートの調査に費やす時間を削減します。

関連コンテンツガイドを読むAIサイバーセキュリティ

CrowdStrike脅威インテリジェンス価格モデル

CrowdStrike は、Falcon ^® Counter Adversary Operations ポートフォリオの下で様々な脅威インテリジェンスソリューションを提供しています。各ソリューションは、サイバーセキュリティのニーズに合わせてカスタマイズされており、エンドポイント、サーバ、アクティブID、または従業員数に応じたライセンスオプションが用意されています。価格については、すべての製品についてお問い合わせください。

CrowdStrike ^{Falcon®OverWatch}​

能力に応じてライセンスされる：

• エンドポイントハンティング：エンドポイントまたはサーバーごとのライセンス。
• IDハンティング：アクティブID（過去90日間に認証されたアカウント）によるライセンス。
• クラウドハンティング：サーバー、仮想マシン(VM)、コンテナごとにライセンスされます。

CrowdStrike ^Falcon ®アドバサリーインテリジェンス

エンドポイント数、サーバー数、または従業員数に基づいてライセンスされます。

クラウドストライク ファルコン®^{アドバサリーインテリジェンス}プレミアム

Adversary Intelligence のアドバンスバージョンで、追加機能とサポートを提供します。エンドポイント、サーバー、または従業員数ごとにライセンスが設定されています。

CrowdStrike ^{Falcon®Counter} Adversary Operations エリート

​^{Falcon®Adversary} Intelligence Premiumが必要です。エンドポイント、サーバー、または従業員数ごとのライセンス。

CrowdStrike脅威インテリジェンス制限事項

CrowdStrikeの脅威インテリジェンスソリューションには、ユーザビリティ、アクセシビリティ、導入に影響するいくつかの制限があります。以下は、G2プラットフォームのユーザーから報告された主な制限事項です：

• 小規模組織には高コスト：CrowdStrikeのソリューションは高価です。小規模な組織や予算が限られているクライアントは、他のプロバイダーと比べて価格競争力が低いと感じるかもしれません。また、アドオン機能の追加料金も全体的なコストに影響します。
• 学習曲線：CrowdStrikeは、その機能を完全に習得するのに時間と労力を要します。CrowdStrikeはこの問題を解決するために無料のワークショップやコースを提供しているが、新規ユーザーは適切なトレーニングなしではプラットフォームの可能性を最大限に引き出すのに苦労するかもしれません。
• 設定の低いデバイスへの影響ハードウェア構成の低いノートパソコンやシステムでは、CrowdStrikeをインストールすると、動作が遅くなるなどのパフォーマンスの問題が発生する可能性があり、リソースに制約のある環境での導入が妨げられる可能性があります。
• 圧倒的なデータ表示：このプラットフォームでは、ダッシュボードに大量のデータが表示されるため、ユーザーが圧倒される可能性があります。このため、特に脅威インテリジェンス分析に慣れていないユーザーにとっては、実用的な洞察に集中できず、気が散ってしまうことがあります。

グローバルな脅威インテリジェンスの統合に限界があります：ユーザーからは、より包括的なグローバル脅威インテリジェンスを、専用のタブや機能としてプラットフォームに統合してほしいという要望もあります。

• データプライバシーに関する保証の欠如：クラウドベースのソリューションであるため、機密データが CrowdStrike エージェントによって安全に取り扱われ、送信されるかどうかを懸念する組織もあります。この懸念は、機密性の高い情報を扱う組織にとっては障壁となり得ます。
• 脅威行為者と脅威インテリジェンス間の直接的なマッピングの欠如：ウェブポータルは、脅威行為者の名前と関連する脅威インテリジェンスとの直接的な接続を提供していません。

エクサビームクラウドストライクの究極の代替手段脅威インテリジェンス

Exabeam は、Advanced Analyticsに直接統合された最新の脅威指標を提供する包括的なThreat Intelligence Service (脅威インテリジェンスサービス) (TIS)を提供しています。このサービスは、データをリアルタイムの脅威コンテキストでリッチ化することにより、セキュリティ監視と検知を強化し、企業が新たなリスクにより効果的に対応できるよう支援します。

Exabeam の主な特徴脅威インテリジェンス：

1. 脅威インジケータの毎日更新：TISは脅威インジケータを1日に複数回更新し、セキュリティチームが潜在的な脅威に関する最新のインテリジェンスにアクセスできるようにします。この指標は、ランサムウェアIP、フィッシング・ドメイン、TORネットワークIPなどの重要なカテゴリをカバーしています。
2. キュレーションされた脅威インテリジェンスソース：ほとんどの脅威インテリジェンスフィードは、吟味された信頼できる複数のソースから取得され、高品質で実用的なデータを保証します。また、TORネットワーク監視用のオープンソースフィードも統合しています。
3. 統合された脅威インテリジェンス・フィード：脅威インテリジェンス・データは、ランサムウェア関連IP、脅威ドメイン、フィッシング・サイトなどのフィードに分類されます。これらのフィードは、Exabeam のAdvanced Analytics内で事前に設定されたルールをサポートし、ログインの失敗や悪意のあるアウトバウンド・ネットワーク・トラフィックなどの異常の検知を支援します。
4. IoCカテゴリと検知ルール：各脅威インジケータカテゴリは、異常検知のための関連ルールにマッピングされます。例えば
   • ランサムウェアIP：既知のランサムウェア関連IPへの接続を検出し、疑わしい送信トラフィックに対するアラートをトリガーします。
   • レピュテーションドメイン：マルウェアやドライブバイ攻撃に頻繁にリンクされるドメインとのやり取りを監視します。
   • Webフィッシングインジケーター：フィッシング関連ドメインへのアクセスをフラグし、クレデンシャルの盗難や不正アクセスを防止します。
5. シームレスなクラウド統合: Threat Intelligence Service (脅威インテリジェンスサービス)は、Exabeam Data Service (EDS) クラウド・コネクタを介して、Exabeam のクラウド配信Advanced AnalyticsおよびData Lakeデプロイメントに完全に統合されています。このコネクタは、別途インストールやライセンスを必要とすることなく、脅威インジケータを安全に取得し、更新します。
6. Advanced Analyticsデプロイメントにバンドルされています。追加のライセンス料が必要な一部の競合他社とは異なり、Exabeam Threat Intelligence Service (脅威インテリジェンスサービス)はAdvanced Analyticsデプロイメントに含まれています。このアプローチにより、オーバーヘッドが削減され、追加コストなしですぐに価値が得られます。このThreat Intelligence Service (脅威インテリジェンスサービス)は、業界標準のSTIX/TAXIIプロトコルをサポートしており、外部ソースから構造化された脅威インテリジェンスをシームレスに取り込むことで、検出と相関を強化します。

リアルタイムの脅威フィードを組み込み、検出ルールにマッピングし、クラウドまたはオンプレミス環境とシームレスに統合することで、ExabeamのThreat Intelligence Service (脅威インテリジェンスサービス)、CrowdStrikeに代わる堅牢な選択肢を提供します。企業は、追加のライセンス料を支払うことなく、実用的なインテリジェンスから利益を得ることができます。

詳細はこちらExabeam Fusion SIEM