セキュリティ緊急対応
フォレンジック(インシデントレスポンス)サービス
進行中のサイバー攻撃を食い止める、あるいはサイバーインシデントの被害に合った後、短期間で広範囲に被害範囲・程度を調査し攻撃者が潜伏していれば排除するという、組織のニーズに応えるのがアクトのフォレンジック(インシデントレスポンス)サービスです。 EDR/XDRのグローバルリーダーであるSentinelOne社よりインシデントレスポンスの資格を日本で唯一与えられたアクトの専門チームが、SentinelOne社の優れたテクノロジーを活用し、これらのニーズに低コストで応えます。
・数十台~5万台のエンドポイント
・サーバーにSentinelOneエージェントを展開し、短時間で多様なログデータを一括取得(Remote Script Orchestration)
・潜伏しているマルウェア
・攻撃者を検知し、追加攻撃を防御(マルウェアの隔離、ローグ端末をネットワークから隔離等)
・取得できる主要データ :ファイルスナップショット、イベントログ、メモリダンプ、通信情報など
※アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーです
フォレンジック(インシデントレスポンス)対応の事例
進行中のサイバー攻撃を防御
サイバー攻撃の兆候を発見したA社よりお電話をいただき、アクトの専任アナリストが即調査を開始したところ、既存アンチウィルスソフトウェアが無効化されている等の証拠が見つかり、SentinelOne DFIRエージェントの展開を開始した。
その後、A社様とアクトは24時間体制でDFIRエージェントの配備を進めた。
アクトは攻撃者が用いるいくつもの手法が明らかにしていき、その手法を封じ込めるカスタムルールを次々に追加した。
DFIRエージェントの配備が間に合わなかった一部の仮想基盤がランサムウェアにより暗号化されたものの、攻撃開始から1か月後、攻撃アクターの撃退に成功し、A社のほとんどのシステムは大きな被害を受けることなく終息宣言に至った。
サイバー攻撃発生後、被害範囲・程度、攻撃者の潜伏を調査
B社は自社Webサイトに不正アクセスを受け、取引先の知るところとなった。
B社は被害範囲と攻撃者の潜伏の有無を調査すべく、アクトにインシデントレスポンスサービスを依頼した。
アクトはSentinelOne DFIRエージェントをB社Webサイト・PC・サーバーに展開し、3週間の監視と調査を実施。
数台のPCに攻撃者のバックドアを発見しそれを駆除した。
B社は将来のサイバー攻撃防御のためSentinelOne EDRとSOCの導入を決定した。
事故発生時の流れ -進行中のサイバー攻撃を防御する場合-
- お客様よりお電話(急を要する場合は011-206-9968までご連絡ください)
- 即日、緊急リモートミーティングを開催しインシデントレスポンスサービスの要不要を判断
- 専任アナリストの体制、作業内容を合意し契約締結
- サービス後2日間は24時間体制でSentinelOne DFIRエージェントを展開しつつ、攻撃内容の調査と防御を実施
- 3日より日勤帯のみ調査と防御を実施、2週間後に攻撃の終息に至る
Contact - お問い合わせ -
セキュリティに関するご相談やサービスのご不明点など
お気軽にご相談ください。