1. サービス概要
SentinelOne MSS (以下「本サービス」) は、性能に定評のあるパワフルなEDR「SentinelOne」と、株式会社アクトが運用するセキュリティオペレーションセンター(以下、SOC)を組み合わせたマネージドセキュリティサービス (MSS) で、ZUNDA株式会社 (以下「当社」) より販売しております。
- お客様環境のSentinelOneが検知したアラートをSOCで受信し、アラートの管理を致します。
- SOCで受信したセキュリティアラートは脆弱性情報や脅威情報と照らし合わせを行い分析し、その結果をお客様へ通知致します。
- 上記セキュリティアラートの分析に加え、そのセキュリティアラートに対する推奨対応内容も併せてご提示致します。
これらのサービスにより貴社での SOC 業務を不要とした「ゼロ・タッチ SOC」を実現します。
2. サービス内容
| サービス名 | サービス内容 | 提供時間 |
|---|---|---|
| 1. AIリアルタイムアラート | AIによる24時間365日の脅威検知アラート | 24時間365日 |
| 2. アナリストによる脅威詳細分析・レポート |
全ての脅威検知アラートにつき、アプリケーションやプロセス、ファイルを詳細に調査 調査結果・推奨対策をSlack/eメールで報告 |
平日9-18時 |
| 3. 自動脅威防御 |
マルウェアのプロセスを停止し隔離する 必要に応じ端末をネットワークから切り離し |
24時間365日 |
| 4. アナリストによるインシデント対応 |
推奨対策(主なものは以下のとおり)につきお客様のご要望があれば代行実施 脅威の削除/駆除 ホワイトリスト、ブラックリスト登録 攻撃者により作成・変更・削除されたファイルのワンクリック自動修復 |
平日9-18時 |
| 5. ポリシー変更 |
お客様からの設定変更依頼であり、かつ緊急性を要しないポリシー変更作業の代行 当社が推奨する設定変更であり、かつ緊急性を要しないポリシー変更作業の代行 |
平日9-18時 |
| 6. エージェントアップデート | ご要望によりSOCからエージェントのアップデートを実施 | 平日9-18時 |
| 7. 緊急対応 |
ランサムウェアによる実害発生などの重大事案のコール受付 IRサービス (オプション料金) へのシームレスな移行が可能 |
24時間365日 |
| 8. QA対応 |
アラートに対してのご質問回答 製品の仕様や操作に関するご質問回答 |
平日9-18時 |
※ 平日の定義は「7. サービスレベル目標 (SLO)」のセクションをご確認ください。
3. 契約期間
ZUNDAより販売する SentinelOne のライセンスと同期間での購入が必要になり、MSSのみを中途解約することはできません。
4. SOC体制
連絡手段
SOCからの通知およびお客様とのコミュニケーションはSlackもしくはメールにて行われます。
- Slack をご利用の場合: Slack Connect がご利用いただけるプランが必要です。Slack Connect の招待リンクを作成し、弊社までお知らせください。
- メールの場合: 通知先のメールアドレスを弊社にお知らせください。グループアドレス (ML) でも問題ありません。SOCからの連絡は act-socteam@act1.co.jp より行います。
言語対応
本サービスは日本語および英語に対応しております。
SOC拠点
本サービスのSOC業務は株式会社アクトの札幌・福岡・東京の3拠点より実施されます。
5. インシデントレスポンス (IR)
SentinelOne コンソール
コンソール内で脅威の詳細を確認します。これには、脅威、その深刻度、影響を受けるエンドポイントに関する利用可能な情報が含まれます。
Deep Visibility Logs(ディープビジビリティログ)
ディープビジビリティログにアクセスして、脅威の動作についてさらに詳しく確認します。これにより、脅威が影響を受けたエンドポイント上で何をしていたかについての情報が得られる可能性があります。
プロセスの詳細とインジケータ
脅威に関連するプロセスの詳細とインジケータを調べます。これにより、インシデントに関連する疑わしいアクティビティやファイルを特定できます。
VirusTotal、Googleなどの外部ソース
外部ソースと脅威を比較参照します。このステップにより、脅威の評判に関する追加的なコンテキストや情報を得ることが出来ます。
脅威ファイルのダウンロード
上記の手順で充分な情報が得られない場合は、脅威ファイルを安全なUSBドライブにダウンロードします。
サンプルをダウンロードする場合、サンプルの所有者であるお客様の了解を事前にいただくこととなります。
隔離された仮想マシン(ローカル・サンドボックス)
インターネットに接続されていない隔離された仮想マシン(VM)をセットアップします。このVMは、脅威ファイルの解析のためだけに制御された環境として機能します。
静的解析
脅威ファイルの静的解析から始めます。これは、実際にファイルを実行することなくファイルのプロパティ、構造、コンテンツを検査するものです。疑わしいコードや埋め込まれた要素を探します。
動的解析(確認後)
動的解析を行う前に、関係各所に安全かどうかを慎重に確認し、隔離された環境でファイルを実行し、その動作ややり取りを確認します。
調査は全インシデントに対して行いますが、同一の事象が発生した場合にはConsoleのNote欄への記載によってクローズとさせていただきます。
6. アナリストの評価
- 脅威ファイルに悪意があると判断された場合は、「True Positive」として処理
- 脅威ファイルが疑わしい、または業務上の目的に必要ではないとみなされる場合は、そのファイルを「Suspicious」としてマーク
- 脅威ファイルに悪意がなく、疑わしいものでもない場合は、「False Positive」として分類
- 静的検出であり、IOC、VirusTotal情報、コマンドラインなどの詳細が欠落している場合、インシデントのステータスは「In progress」のままになります。このような場合には、お客様に連絡し、72時間以内に応答がない場合、アナリストの評価は「Suspicious」に変更される
- ランサムウェア攻撃等、重大なサイバー攻撃が確認された場合、影響を受けた端末は、直ちにDFIRモード(Digital Forensic and Incident Response)に移行され、IR(Incident Response)サービスとして、広範かつ包括的な調査を開始することが可能です。(オプション料金)
7. サービスレベル目標(SLO)
本サービスは、平日 9:00-18:00 対応のサービスとなります。平日とは、月曜日から金曜日のうち、アクト社が定める休業日 (国民の祝日、年末年始) を除いたものです。
オペレーションレスポンスの目安時間
オペレーションレスポンスの目安時間は緊急度 (後述) ごとに以下のように定めます。
| パラメータ | P0(重大) | P1(高) | P2(中) | P3(低) |
|---|---|---|---|---|
| 1次レスポンス | 10分 | 60分 | 60分 | 60分 |
|
インシデント対応 分析結果提示 |
30分 | 60分 | 60分 | 60分 |
- インシデントの性質により上記の時間を上回るケースがございます
- 段階的に調査分析が必要なインシデントの場合、通知が複数回に分けて送付される事がございます
- 初回フルディスク・スキャンで大量のアラートが発生した場合はSLOの対象外とさせていただきます
緊急度の定義
各緊急度の例は以下のとおりです。
| パラメータ | 影響度 | 例 |
|---|---|---|
| P0 | サイバー攻撃により重要なサービスが影響を受けたり停止した場合 | ランサムウェア攻撃等 |
| P1 | 稼働環境での問題。サービスに直接的な影響はないものの、適宜対処が必要なもの | 情報の窃取、感染拡大等 |
| P2 | ユーザによっては影響を受けるもののサービスに直接的な影響が出ない場合 | フィッシング、マルウェア、C&Cコミュニケーション等 |
| P3 | フォローアップが必要なインシデント | 特定ポートや内部IPのブラックリスト化された活動、ACLの変更等 |
8. 提出物 (レポーティング)
レポートはインシデント毎に提出いたします。月次レポートをご希望のお客様は別途ご用命ください。
(英文レポートは無償提供いたします)
インシデント分析レポートは以下に基づきます。
IOC(侵害の痕跡)を確認
- インシデントに関連するIOCを調査して、侵害または悪意のある活動の潜在的な兆候を特定
イベントを使用してIOCを検証(Explore)
- 特定されたIOCをイベントおよびログと関連付けて、その存在とインシデントとの関連性を確認
ソフトウェア/アプリケーション分析
- インシデントがソフトウェアまたはアプリケーションに関係している場合、問題のソフトウェア/アプリケーションのバージョンを調査
- ソフトウェア/アプリケーションの共通の特性と動作パターンを分析して、その通常の機能を把握
既知の脆弱性をチェックする
- ソフトウェア/アプリケーションに既知の脆弱性があるかを確認
- これらの脆弱性に関連するCVE(Common Vulnerabilities and Exposures)の日付と年を調査
- CVEを特定し、それが古いものである場合は、それに対処するパッチがリリースされているかを確認
サービス提供者
製品およびサービスの販売
ZUNDA株式会社
SOCサービスの実施
株式会社アクト
〒112-0002 東京都文京区小石川1-3-25小石川大国ビル6F