ホーム / Workspace ONE /

Carbon Blackについて少し話してみる

2022/07/30

Anywhere Workspace Carbon Black EUC VMware Workspace ONE

t f B! P L

はい、本日はCarbon Blackについて少しお話しようと思います。

Carbon Blackってなんですか?っていう話ですね、ざっくりといきますよー!

Carbon Blackってなんぞね?

Carbon Blackは元々Carbon Black社が提供していたセキュリティ製品です。2019年にVMware Familyとなり、現在に至ります。ざっくりとEDR製品と思ってもらえれば大枠間違いありません。ここでは、クラウド型のEDR製品としてお話します。
そもそも、EDRが何故に必要かという点を軽くお話します。こちらでも記載しましたが、従来のEPPという製品では昨今の悪意のある攻撃に対応できなくなっています。すべての攻撃を事前に100%防御することは、事実上厳しいというのが現在の主流です。そこで、攻撃された後の振る舞いまでを考慮可能なEDRという製品群に期待が高まっています。

Carbon Blackのラインナップ


Carbon Blackは大きく2つの体系に分かれています。本記事ではEndpoint主体にお話します。
  • Carbon Black Cloud Endpoint
    いわゆるデバイスに対しての製品です。デバイス数でライセンス数をカウントします。イメージとしては、従来のアンチウイルス製品(EPPといいます)と同じような考え方ですね。
  • Carbon Black Cloud Workload
    こちらは仮想環境、vSphere環境に適用する製品です。仮想基盤上に多数のサーバが稼働している場合はこちらが有効となります。vSphereと連携することで、一括管理などの恩恵を受けることも可能です。

Carbon Black Cloud Endpointのエディション紹介

選択できるエディションは、Standard/Advanced/Enterpriseの3種類です。一目瞭然で、やれる内容が段階的に異なります。
  • Endpoint Standard
    こちらは必要最低限の機能を備えたスターターのようなイメージです。従来のEPPからステップアップするお試しとしては最適です。NGAVと呼ばれる次世代アンチウイルスとEDR機能を搭載しています。
  • Endpoint Advanced
    Standardに加えてリアルタイム検索と脆弱性の可視化が追加されたエディションです。こちらは、迷ったらコレという鉄板エディションとなります。
  • Endpoint Enterprise
    こちらは、内部に潜んでいるかもしれない脅威を、先手を打ち積極的に狩り出す事が可能な、脅威ハンティングを備えたエディションです。使いこなすにはある程度のスキルが必要になりますが、高精度なプロセスの可視化、Watchlistという驚異ハンティングを支援する機能を活用することで、よりレベルの高い運用が可能となります。
個人的には、EDR導入と一緒にSOCと呼ばれるサービスの導入をおすすめします。セキュリティ二特化した人材の育成や採用にかかる費用よりも、結果として安価に専用のサービスを利用することが可能だからです。

Carbon Black Cloudの構成


Carbon Black Cloudの構成にはいくつかの特徴があります。
  • データセンターは日本に設置
  • ログの保存も拡張せずに30日分保管
やはりデータセンターが国内という点や、ログ保存に別途製品の購入が不要という点がメリットですね。また、VMware FamilyということはほかVMwae製品との親和性が非常に優れていることが特徴です。

Workspace ONE × Carbon Black

VMware製品との親和性が優れているということで、Workspace ONEとの連携を例にお話します。

Sensorのサイレントインストール

図の①ですね。デバイスをWorkspace ONEに加入させて、CB Sensorを自動的にサイレントでインストールすることが可能です。ユーザーが主導でインストールするという手順を省くことが可能なことはもちろん、Workspace ONEにデバイスを加入すると必ずCB Sensorのインストールが行われるため、インストール漏れなどのミスがなくせます。

レポートの強化

図の②ですね。Carbon Blackから連携される脅威イベントをWorkspace ONE Intelligenceダッシュボードやレポートに可視化することが可能です。

脅威が検出されたデバイスの自動隔離

図の③ですね。ここはややこしいのでもう少し細かいものを。

  1. Carbon Blackが脅威イベントを検出(マルウェアに感染した等)
  2. Carbon BlackがWorkspace ONE Intelligenceに脅威イベントを連携
  3. 指定した条件(ここでは、脅威レベルがHigh以上としています)に合致すると該当デバイスに対して自動アクションを発動
  4. Workspace ONE IntelligenceがCCarbon Blackの隔離アクションを実行
  5. Carbon Blackが該当デバイスを隔離(Carbon Black以外への通信をブロック)
このようにアクションを予め決めておくことで、迅速な対応を自動化することが可能です。

リスクスコアに応じたアクセス制御

Workspace ONE IntelligenceでCarbon Blackの脅威イベントやデバイスのセキュリティ状態を基にリスクスコアを算出します。Workspace ONE Accessでリスクスコアとデバイスコンプライアンスを使用して高度なアクセス制御を実施することが可能です。
なお、こちらを実施する場合は事前にプレビューモードなどを利用して十分データを取った後に実装することをおすすめします。初期は想定外の動作をするケースがあるからです。

まとめ?

いかがでしたでしょうか。Carbon BlackはEDRという製品であり、今後のデバイスセキュリティには欠かせないツールだと思えていただければよいかと思います。
また、他のVMware製品との親和性が高い点もポイントですね。
また、個人的にですがEDR系の製品はまずはプレビューモードで導入して、しばらく走らせた後にチューニングをするほうがスムーズに行きそうです。
ではまた!

Translate Blog

自己紹介

自分の写真
ITインフラエンジニア。のはずだけど最近は実機をいじれていないので錆びついてる疑惑。営業、コンサル(エセコンw)、プリセールスあたりの色が強い今日このごろです、はい。 vEXPERT 2019-2023

このブログを検索

ブログ アーカイブ



本サイトについて

ITインフラ系エンジニア(のはず)による、気の向くままに書きたいことをつぶやく場所です。もしかしたら備忘録的な側面もあるかも。 ブログに記載する内容はあくまでも個人的見解です。参考情報としてお取り扱いください。

QooQ