ヴイエムウェアの「VMware Carbon Black Cloud Enterprise EDR(旧CB ThreatHunter)」は、EDR(エンドポイントによる検知と対処)ソフトである。社内LANへのマルウエアの侵入を許した後でも、マルウエアによる不正な行動を感染先であるエンドポイント上で検知し、これに対処できる。SaaS型クラウドサービスの形態で提供し、管理対象のエンドポイントに専用のエージェントソフトをインストールして利用する。

VMware Carbon Black Cloudの画面
VMware Carbon Black Cloudの画面
(出所:ネットワールド)
[画像のクリックで拡大表示]

特徴

 ウイルス対策とEDRを兼ね備える。ウイルス対策は、シグネチャー合致ではなく機械学習などを活用して未知の脅威を検知する。EDRは、侵入したマルウエアの行動を記録して分析し、詳細調査や迅速な復旧対応を支援する。

提供形態

 通常のEDRは、フィルターをかけた情報をEDRのログとして保存して活用する。一方、VMware Carbon Blackは、ウイルス対策機能で検知した、フィルターをかけていないアクティビティー情報を、そのままEDRのログとして保存する。

 ログ情報が豊富であるため、端末の活動状況について、プロセス前後の関連性が分かりやすい。これにより、侵入後に脅威に変異する攻撃も、検知/可視化できる。アラートログと正常ログを区別なく表示するため、原因の特定も容易だとしている。

 感染した端末を隔離する機能も持つ。悪意のあるファイルを削除し、エンドポイント間での感染拡大を防ぐ。さらに、事後調査のためのフォンジックデータを自動的に収集して保存する。

仕組み

 エンドポイントのアクティビティーを、3~15分以内に1回程度、クラウドに送信する。通信量は、エンドポイント1台で1日あたり15Mバイト程度である。クラウドに送信するデータは、端末情報(ホスト名、IPアドレス、OSエディションなど)、ファイル情報(ハッシュ値、電子署名など)、ユーザー名、プロセス間通信の情報、実行したバイナリファイルの情報など。

主な機能

ウイルス対策

 シグネチャー合致ではなく、機械学習などを活用して未知の脅威を検知する。

EDR

 侵入したマルウエアの行動を記録/分析し、詳細調査や迅速な復旧対応を支援する。

稼働環境

 SaaS型クラウドサービスの形態で提供する。管理対象のエンドポイントには専用のエージェントソフトをインストールする。エージェントソフトはWindows用とMac用がある。

価格・料金(税別)

 対象となるエンドポイント数(最低100台)に合わせたサブスクリプション方式。価格の詳細は要問い合わせ。

備考

 価格は、販売代理店であるネットワールドのもの。