Cybereason とは

 Cybereason は、国内EDR市場シェアNo.1(※1)の次世代エンドポイントセキュリティです。 クラウド上の検知サーバによって複数端末のデータの相関解析を行い、さらにAIエンジンによって振る舞いを分析することで、攻撃の全体像をリアルタイムに検知します。 攻撃の状況は即座にダッシュボードで可視化され、攻撃を受けている端末をネットワークから隔離するといった対処を複数端末に対し一斉に実行することができます。

※1 出典:株式会社富士キメラ総研 2020年11月17日発行「2020 ネットワークセキュリティビジネス調査総覧(市場編)EDR2019年度実績」


Cybereason の詳細は https://www.cybereason.co.jp/ をご覧下さい。

Logstorage と Cybereason の連携メリット

Cybereason EDR のログ収集
Cybereason EDR の分析エンジン Hunting Engine により攻撃性が高いと評価されたものは MALOP として定義されます。その MALOP の情報を Syslog 連携することにより、 Logstorage へリアルタイムに収集します。 また、 Cybereason EDR の管理画面での操作履歴である監査ログについても、 Syslog 連携により Logstorage へリアルタイムに収集します。


他のシステム・機器のログとの統合
Logstorage は様々なアプリケーションやサービス等から出力されるログのフォーマットの違いを吸収し、統合的・横断的に分析する事が可能です。 Cybereason EDR のログと他のログを「ユーザID」「IPアドレス」「重大度」等のキーワードで横串検索を行い、横断的な分析を行うことができます。


ログの長期保存、原本性の証明
Cybereason EDR で検出した MALOP や監査ログを Logstorage に自動収集し、インフォサイエンスが開発したログ専用の独自DBに格納する ことにより、ログを最大で10分の1に圧縮し、かつ高速なログ分析を実現しています。 さらに、独自DBの暗号化や、ハッシュ値を自動生成する機能により、ログの改ざん検出や原本性の証明を実現できます。


柔軟なレポーティング機能
Logstorage は収集したログから任意の条件の検索・集計結果をレポート出力する機能を有しています。 Cybereason EDR で検出された MALOP の影響を受けたマシンの状況、 Cybereason EDR の管理画面へのログイン失敗やポリシー変更状況等の可視化を行うことができます。

システム構成

Logstorage Cybereason 連携

レポート例



(クリックして拡大)

活用例

  • 定期的に MALOP の影響を受けたマシンやユーザ情報をレポートすることにより、頻繁に MALOP が検出されるマシンを特定することができます。そのマシンのセキュリティ対策を強化することで情報漏洩を未然に防ぐことが可能です。
  • MALOP が検出されたマシンのIPアドレスをキーにファイアウォール等のログを横串で分析することにより、どこからマルウエアやランサムウェアが送り込まれたのか、そのマルウエアやランサムウェアがどこへ通信しているのかを突き止めることができます。それらの通信を遮断することで被害を最小限に防ぐことが可能です。

Logstorage Cybereason 連携パック の内容

 ・Logstorage Cybereason 連携パック
  - Cybereason 検索/集計/レポートテンプレート
  - Cybereason ログフォーマット定義

ログ収集対象

 Cybereason MALOP,マルウェア, 監査ログ

お問い合わせ先


  ログストレージ 開発元
   インフォサイエンス株式会社 プロダクト事業部
   〒108-0023 東京都港区芝浦2-4-1 インフォサイエンスビル
   メール:info@logstorage.com 電話:03-5427-3503
    URL:https://www.infoscience.co.jp/