VMware VMware Carbon Black
Carbon Black Cloudのセンサーが導入されたエンドポイントはクラウドとポーリング通信を行い、各機能がクラウドから提供されます。Carbon Black Cloudは「攻撃侵害を受けたエンドポイント」の特定だけでなく、「封じ込め」という重要な作業が完了したと判断するために、「侵害を受けていないエンドポイント」の明確化も行います。
多くのEDR製品は「検知」を最優先に設計されており、検知プロセス中に不要と判断されたデータは短期間で破棄されます。Carbon Black Cloudは検知後に必要な作業にも注力し、不要と判断される可能性のあるデータでも長期間保持しているので、迅速かつ正確なインシデント対応が可能です。
NGAVとEDRをセットで提供するCarbon Black Cloudを導入することで、未知のサイバー攻撃に対するセキュリティが強化され、万が一の感染時に求められる迅速な復旧対応が可能になります。
- エンドポイントのデータを区別なく記録し保存する
脅威か否かにかかわらず保存することによって、インシデントが起きた際に最後まで追うことができます。 - クラウド上でのビックデータ解析で攻撃の予測し対処する
既知の攻撃、未知の攻撃の両方にアプローチすることが可能です。 - 他製品とのシームレスな連携でセキュリティ投資効果を最大化する
セキュリティログを収集する製品等と連携させてセキュリティ運用の改善を図る事が可能です。
NGAVはサイバー攻撃の「振る舞い」に着目し、AIやビッグデータ解析によるイベント分析で不審な挙動を検知します。これは既知のマルウェアが持つ「ファイル」をベースにした従来のアンチウイルスとは異なるアプローチであり、ゼロデイ攻撃や未知のマルウェアを検知できる技術です。
一方で、EDRはセキュリティ被害の発生を前提としており、エンドポイントで発生したログやイベントを調査・分析することで、攻撃の進行状況や根本原因を特定し、ネットワーク隔離や詳細調査といった復旧作業を行うためのソリューションです。Carbon Black社(後にVMware社が買収)はEDRソリューションを初めて市場に投入したセキュリティメーカーであり、Carbon Black社のMichael Viscuso氏はEDRの生みの親と言われています。
どのような対策をしてもウイルスの侵入を100%防御することは不可能であるため、侵入を前提に目的遂行をEDRで防ぎます。Carbon Black CloudのEDRは疑わしい情報のみならずエンドポイントのすべての動きを記録しており、過去に遡って調査することが可能です。さらにCarbon Black Cloudは可視性が高く、プロセスの遷移をプロセスツリーで容易に把握することができ、管理者が原因の特定から対処までを素早く行うことができます。
オンプレミス環境に専用の管理サーバを構築する必要はなく、クラウド上の一元的な管理コンソール経由でポリシー変更や状況の可視化、復旧のための対応を実行できます。
| VMware Carbon Black Cloud Endpoint | Prevention | Standard | Advanced | Enterprise |
|---|---|---|---|---|
| 契約期間 | 1年、3年、5年 | |||
| 最低購入数量 | 50〜 | 100〜 | ||
| 次世代アンチウイルス(NGAV)機能 | 一部制限あり | ● | ● | ● |
| 振る舞い型EDR機能 | ● | ● | ● | |
| Live Response機能 | ● | ● | ● | |
| リアルタイム検索(Live Query)機能 | ● | ● | ||
| 脆弱性の可視化 | ● | ● | ||
| Enterprise EDRによる全挙動の可視化と調査 | ● | |||
| 外部脅威インテリジェンス連携(ウォッチリスト) | ● | |||
| アドオン製品への対応 | ||||
| Carbon Black Cloud Host-based Firewall | ● | ● | ● | |
| Carbon Black XDR | ● | |||
エディション選定チャート
- VMware Carbon Black Cloud Audit and Remediation(旧CB LiveOps)
- 「Endpoint Advanced」に含まれるリアルタイム調査機能で、セキュリティ運用チームに環境全体のエンドポイントの状況を把握し、現在の状況を評価するための情報を提供、リアルタイムクエリ調査と対処を行います。
- 望ましくないアプリケーションの利用の把握
- 不適切なアクセスをしているユーザーの確認
- 重要システムがポリシー定義通り運用されているかの確認
- 管理者によるすべてのエンドポイントのステータスの問い合わせ
- VMware Carbon Black Cloud Enterprise EDR(旧CB ThreatHunter)
- 「Endpoint Enterprise」に含まれるEDR機能に特化した製品で、クラウド上で高度な攻撃に対する脅威ハンティング及び対応を行います。
- エンドポイントで起こるすべての情報の記録と完全な可視化
- 疑わしいイベントへの積極的な脅威ハンティング
- 自動化されたウォッチリスト
- すべての端末に対するリモート対応と修復
- VMware Carbon Black EDR(旧CB Response)
- リアルタイムで脅威ハンティングを実行し、攻撃の進行段階全体を可視化して攻撃に対する迅速なレスポンスと修復を実現するオンプレミス型のEDRソリューションです。
- すべての脅威アクティビティをキャプチャし、継続的な集中型データ管理
- リアルタイムの脅威ハンティングによって脅威の潜伏期間とダメージを削減
- 現在の攻撃方法の詳細の明確化や根本的な原因の把握と将来的な攻撃の阻止
- すべてのエンドポイントに対するリモート調査と修復
- VMware Carbon Black App Control(旧CB Protection)
- エンドポイントと重要なシステムを確実に保護するためのするオンプレミス型のアプリケーション制御ソリューションです。
- エンドポイントとシステムのロックダウン
- すべてのエンドポイントに対するリモート調査と修復
- ファイルの整合性監視と制御の刷新当のセキュリティエージェントの統合
- すべてのソフトウェアの信頼度と有効性の確認
VMware Carbon Black CloudやVMwareソリューションに関する最新情報は「VMware Cloud Frontier」でもご紹介しています。
