米現地時間3月4日、CrowdStrikeは「CrowdStrike Falconプラットフォーム」の機能強化を発表した。これによりセキュリティチームは、最優先事項に注力し、サイバー脅威に対する組織のプロアクティブな態勢を強めることができるとしている。
CrowdStrikeの顧客は、CrowdStrike Falconプラットフォームにおける新たな通知ワークフローとリアルタイムレスポンス(RTR)機能によってセキュリティオペレーション対応を加速させ、インシデントレスポンスのサイクル全体を自動化することができる。これらはユーザーインターフェース(UI)の強化により実現したものであり、アナリストは検知とインシデントの関係性が可視化されることで、インシデントとそれに関連する検知を同時にアップデートできるようになるという。
この新しい機能は、SOCがオペレーションを最適化し、CrowdStrikeの「1/10/60ルール」(1分で検知、10分で調査、60分で攻撃者を封じ込め、対応する)を満たすことを支援するとしている。
また、新たなUI機能強化により、顧客は関連する検知のステータスを表示し、割り当て、アップデートし、コメントを付けることができるようになり、SOCワークフローがプロアクティブなインシデントベースのワークフローに進化。CrowdStrike Falcon通知ワークフローを活用し、特定の種類のイベント、条件およびクラウドセキュリティポスチャの結果に合わせ自動的にリアルタイム通知を、電子メール、汎用Webhook経由またはSlackやPaperDutyにシームレスに配信し、SOCオペレーションの効率を高めることができるという。
クラウドネイティブかつシングルエージェントのアーキテクチャの強みは、レスポンスアクションを自動化するためにエージェントをアップデートしたり、ソフトウェアを新たに展開・構成する必要なく、CrowdStrike Storeのアプリを通じてRTRフレームワークを使用できることにある。顧客は、最近加わったTinesやVulcan CyberといったCrowdStrike Storeパートナーから、自動化されたセキュリティ、レスポンスおよび脆弱性修復プレイブックを展開し、Falconプラットフォームからの検知とインシデントを利用して、分散するSOCチームにスピード、一貫性、そして拡張性をもたらすことができるとしている。
新機能の概要
- カスタマイズされたワークフローで対応を加速:イベント、トリガー、しきい値に基づきカスタムアクションと通知を設定してインシデントレスポンスを効率化することで、脅威の検知に対応し修復する平均時間を短縮できる
- 日常的に繰り返される作業を自動化し、スタッフの業務を支援:セキュリティチームは、一貫したワークフローで繰り返し行う手動タスクを自動化し、生産性アプリケーションを強化することで、コンテキストとレスポンスの迅速化や軽減アクションの自動化を実現。そして最終的には、ビジネスクリティカルな資産を変化の激しい脅威から保護する
- 調査のユーザーエクスペリエンスを向上:個別の検知がインシデントの一部として速やかに識別、可視化されるため、ラテラルムーブメント(水平移動)による影響を受けたホストを含め、すべての影響を受けたホストをたった1回のクリックで素早く封じ込めることができる
【関連記事】
・CrowdStrike、約4億ドルでHumio買収に合意
・クラウドストライクが年次レポート発表 コロナに乗じたサイバー犯罪が激増
・クラウドストライク、CSPM/CWP機能強化で可視性やセキュリティを向上
