CrowdStrike Falcon OverWatch™は、通常では検知されないままかもしれない侵入や悪意あるアクティビティ、攻撃者グループを検出する、マネージドハンティングサービスです。さらに、Falcon OverWatchは目に見えず破壊的なマルウェア攻撃をプロアクティブにハンティングし、お客様に通知してそれぞれに見合った防御を提供します。プロアクティブ脅威ハンティングの3つのメソドロジーについては、こちらを参照してください。

Falcon OverWatchにはMSSPとは異なる目的があります。MSSPは従来、ファイアウォールやIDS/IPS、SIEMやウェブゲートウェイなどのお客様の製品を管理するために使われているからです。ある程度の基本的検知やアラートサービスはありますが、その大部分はマネージドセキュリティ製品のアラートを基盤にしており、あるインシデントに対応するために何を行うべきかの調査や優先順位付け、判断はお客様に任されます。歴史的に、MSSPは、ファイアウォールやUTM（統合脅威管理）、ウェブゲートウェイなどの周辺セキュリティソリューションの監視を重視しており、スキルの高い攻撃者がそれらのソリューションに検知されずに企業に侵入する能力を持つと、これは効果的ではないことがわかってきました。

一方、Falcon OverWatchは、お客様のセキュリティ製品を管理するものではありません。OverWatchはお客様にかわってプロアクティブに脅威を検索し、現在のセキュリティテクノロジーが提供する受動的で自動化された検知のはるかに先を行っています。OverWatchは、そうでなければ見逃されてしまったかもしれない攻撃を指し示す「決定的な」痕跡を検索し、見付け、調査して、さらに対応することもできます。OverWatchはまた、修正を勧めるアクショナブルアラートも提供し、詳細な分析を行って、何が起き、そのインシデントにどのように対応すればいいのかお客様が判断できるようにします。さらにMSSPは歴史的に先進的攻撃を検知しません。けれどもOverWatchは日常ベースで、お客様のMSSPをすり抜けた攻撃を検出します。これは、自社のMSSPが先進的攻撃を検知する能力をお客様がテストできる、CrowdStrike®攻撃者エミュレーションサービスで確認することができます。

Falcon OverWatchは毎日、他のどんなセキュリティ防御も検知できず、ブロックできなかった攻撃を識別し、阻止しています。Falcon OverWatchは平均で、年間35,000以上の侵害の企てを阻止しています。

CrowdStrike Falcon®エージェントがあるため、ベースラインを確立する必要はありません。調査の間に、Falcon OverWatchは各ユーザー、プロセス、またはワークステーションのアクティビティを、お客様環境内の他のものと比較します。

典型的な例は次のようなものです。Falcon OverWatchにより、ボブというユーザーがRDP（リモートデスクトッププロトコル）を使用してあるサーバーにアクセスし、いくつかの疑わしいコマンドを実行したことが観察されたとします。Falcon OverWatchはそのシステムへのすべてのログインを調査し、対話型ログインとRDPログインを比較し、また環境全体でのボブのRDP使用も調査します。他の例として、OverWatchが疑わしいプロセスを見付けると、その環境の中でどこで何回疑わしいファイルが実行されたかの調査が行われます。Falcon OverWatchはマネージドハンティングサービスとして、この分析をさらに進めて、このファイルがデータセット全体でどの程度広まっているか、また他の場所でも同じ特徴を示していないか判断するための検索も行えます。

OverWatchは日常的に、CrowdStrike Serviceやインシデント対応、および脅威インテリジェンスチームと関わります。OverWatchチームはFalcon Intelligence™およびセキュリティ対応チームと双方向で協力し、調査の間に見つかったアクティビティやマルウェアの特定や識別をサポートします。Falcon OverWatchが関わるインシデント対応のケースでは、チームはCrowdStrike Serviceと緊密に連携し、調査で判明した情報を交換します。

遡及的調査は、Falcon OverWatchが侵入の証拠を求めて履歴データを見直す場合を指します。そのような調査は極めて頻繁に行われます。侵入行為の間に、IPやドメイン、ハッシュ、その他の調査アーティファクトが収集されます。これらのアーティファクトはCrowdStrikeインテリジェンスデータベースにロードされて、Falconプラットフォームのお客様用UIでアラートが生成されます。Falcon OverWatchでは、履歴の中にそれらの痕跡がないかも検索し、該当するものがあれば調査して場合によってはお客様に通知します。

Falcon OverWatchはイベント量やシステム、スタッフを非常に効率的に拡張できます。ターゲットを定めた目に見えない侵入を見付けるという使命に特化しているため、Falcon OverWatchはFalconプラットフォームでの検知を分析するだけでなく、専用のOverWatch内部検知および分析ツールも使用します。それによりOverWatchの検知プラットフォームを調整できるようになり、誤検出をなくして、検知精度を高めながら分析の負荷を軽減します。最後に、Falcon OverWatchは幅広いインテリジェント自動化を活用して、ルーチンタスクを排除し、可能な限りノイズの排除率を高めます。

Falcon OverWatchは、相互に構築された次のような階層レベルのサービスを提供しており、企業はそのビジネス要件とリソースに最適なオプションを選択できます。

• 基本となるFalcon OverWatchサービスでは、24時間365日のプロアクティブな人による脅威ハンティングや通知が提供され、お客様チームのシームレスな拡張として運用されて、隠れた高度な脅威を監視し阻止します。
• Falcon OverWatch Eliteは、自社のセキュリティ運用チームを成熟させようとしている企業に役立ちます。OverWatch EliteではOverWatchアナリストを割当て、そのアナリストはプロアクティブなセキュリティチェック、脅威のレポート、四半期ごとの評価、そして対象を絞ったアドバイスや全体像を示して、企業による防御の強化や対応時間短縮をサポートします。

Falconは、エンドポイントごとのサブスクリプションベースでライセンスされます。詳細は当社にお問い合わせいただくか、見積もりをご依頼ください。