概要
エクサフォースはCrowdStrike Falconと統合し、エンドポイント検出を一元化するとともに、システム横断のコンテキストで強化します。エンドポイントアラートをデバイスアクティビティ、ユーザー行動、アイデンティティ、クラウドログと相関させることで、ノイズを削減し、アラートの精度を向上させ、エンドポイント起点のインシデントをエンドツーエンドの攻撃ストーリーとして調査できるようにします。
仕組み
エクサフォースはCrowdStrikeを既存のセキュリティスタックに接続し、エンドポイント検出を取り込み、コンテキストを付与します。トリアージおよび調査ワークフローにより、エンドポイントの検出結果を関連するアイデンティティおよびクラウドのテレメトリと相関分析し、アナリストが意図と影響範囲を迅速に検証し、アラートから証拠に基づくインシデントへと迅速に移行できるようにします。
コア機能
誤検知の排除
AIを活用したトリアージにより、EDRアラートを実際のシステム挙動とビジネスコンテキストに基づいて検証し、通常の業務を除外して、対応が必要な脅威を抽出します。
実用的なコンテキストで強化されたアラート
エクサフォースは、エンドポイントログ、脅威インテリジェンス、関連証拠との相関分析によりCrowdStrikeアラートを強化。EDRイベントを対応指針が明確なインシデントへと高度化します。
システム横断でコンテキスト化された検出結果
エクサフォースは、エンドポイントアラートをクラウドおよびアイデンティティへの影響と結び付け、権限昇格、ラテラルムーブメント、下流への影響など、エンドポイント単体のツールでは見逃されがちなキルチェーン全体を可視化します。
調査の高速化
エクサフォースは、エンドポイント、クラウド、アイデンティティのテレメトリを単一の攻撃タイムラインに統合し、自動的な証拠相関と可視化された攻撃マッピングにより、調査時間を数時間から数分へと短縮します。
メリット
エクサフォースは、実際のシステム挙動とビジネスコンテキストに基づいてノイズの多いEDRアラートを検証・フィルタリングし、エンドポイントアラートの過負荷を軽減することで、チームが真の脅威に集中できるようにします。さらに、CrowdStrikeの検出結果にエンドポイントログ、脅威インテリジェンス、関連証拠を相関付けて付加することで、何が起きたのか、次に何をすべきかを明確にし、アナリストの対応速度と意思決定の質を向上させます。また、エンドポイント、アイデンティティ、クラウドのテレメトリを単一のタイムラインに統合することで、攻撃チェーン全体と影響範囲を迅速に把握でき、調査サイクルを短縮します。
