ApexOne
当社のアナリストの判断をもとにセキュリティ対応の精度を向上お客様内部セキュリティ担当者の負担を低くすることが可能
当社のアナリストが高度な監視することで担当者の負担を軽減
ApexOneで発生した検知アラートを監視し、当社のアナリストが判断した脅威レベル2~4のアラートに対してメールにてエスカレーション通知を行います。
このエスカレーション通知に対し、お客様は必要に応じてメールでの問い合わせが可能です。
アナリストによる判断をもとにセキュリティ対応の精度を向上させ、お客様内部セキュリティ担当者の負担を低くすることが可能です。
| SOC 脅威レベル |
判断基準 | 監視内容 | 通知手段 |
|---|---|---|---|
| レベル4 | 複数の端末に感染が広がっていると強く疑われるイベント | アラート分析 ログの詳細分析 隔離を実施 (SLOを3時間とする) |
メール 電話(レベル4のみ) |
| レベル3 | 1つの端末でマルウェアの感染が強く疑われるイベント | ||
| レベル2 | SOCでは安全であるか判断できないイベント | アラート分析 ログの詳細分析 (ベストエフォート) |
メール |
| レベル1 | 分析で問題なしと判断できたイベント | アラート分析 | なし |
- ※アラート分析の結果、レベル3と判断した場合は、ApexOneの脅威レベルにかかわらず隔離を実施いたします。
- ※アラート分析の結果、レベル1と判断した場合は、ApexOneの脅威レベルにかかわらずご連絡(エスカレーション)はございません。
- ※ホワイトリストチューニング期間中、隔離は実施いたしません。
- ※分析対象の検知カテゴリはEPP/EDRです。
- ※ブロックまたは自動復旧機能で無害化されたアラートは分析対象外です。
ApexOne監視概要
| 監視対応OS | Windows/Mac |
|---|---|
| 監視対象アラート | EPP/EDR |
| 既知のマルウェア監視 | EPPのアラートでリスクレベルが高い可能性のある脅威について分析を行います。 |
| 未知のマルウェア監視 | EDRのアラート内容を分析し、更に詳細分析が必要と判断した場合は、ApexOneの管理画面にログオンし、詳細ログの分析を行います。 |
| 事象判断 | 既知未知問わず、お客様に影響のあるリスクを精査/分析して、対応が必要なアラートのみをエスカレーションする判断をいたします。 |
| 高脅威への対処 | 事象判断結果で、エスカレーションLevelが3~4の脅威については、必要に応じて、管理画面にログオンして端末のネットワーク隔離を実施いたします。 |
| エスカレーション | 上記で脅威有りと判断した事象については、ポータルにてチケットを発行して、脅威の概略や対処方法などをまとめた内容でエスカレーション登録を行います。御社のご担当者様にエスカレーションメールが届きます。 |
| エスカレーション内容のQA | エスカレーション内容について確認されたい場合は、ポータルにてご連絡をお願いいたします。アナリストが回答いたします。 |
| 月次報告 | エスカレーションの集計結果および月次報告書は、ポータル画面で提供いたします。 |
監視対象
ApexOneのEPP/EDRで検知したアラートが対象です。
ただし、ApexOneによってブロックやプロセスが停止されたものは、脅威を防ぐことができたとして監視の対象外です。
対応方法
エスカレーションレベルが3~4のアラートについては3時間以内にメールにて検知の正否をお伝えいたします。
環境に依存する可能性のあるアラートについてはお客様に対して正否などを確認させていただくことがあります。
Medium については、時間目標の対象外となり、当社が脅威と判断した場合のみ通知いたします。
監視・エスカレーション運用フロー
