概要
ExaforceはCrowdStrike Falconと統合してエンドポイント検出を一元化し、システム間のコンテキストでそれらを強化します。Exaforceは、エンドポイントのアラートをデバイスのアクティビティ、ユーザーの行動、ID、クラウドログと関連付けることで、セキュリティチームがノイズを減らし、アラートの忠実度を高め、エンドポイント主導のインシデントをエンドツーエンドの包括的な攻撃ストーリーで調査できるようにします。
仕組み
Exaforce は CrowdStrike を幅広いセキュリティスタックに接続して、エンドポイントの検出データを取り込み、コンテキスト化します。Exaforceのトリアージおよび調査ワークフローは、エンドポイントの調査結果を関連するIDおよびクラウドテレメトリと相関させるため、アナリストは意図と範囲を迅速に検証し、アラートから証拠に基づくインシデントに迅速に移行できます。
コア機能
誤検知を排除
AIを活用したトリアージは、EDRアラートを実際のシステム動作とビジネスコンテキストと照らし合わせて検証し、日常業務をフィルタリングして対処が必要な脅威を明らかにします。
実用的なコンテキストを含む充実したアラート
Exaforceは、CrowdStrikeアラートに相関するエンドポイントログ、脅威インテリジェンスデータ、および裏付けとなる証拠を取り入れ、未処理のEDRイベントを、より明確な対応手順で実行可能なインシデントに変換します。
システム間の状況に応じた調査結果
Exaforceは、エンドポイントのアラートをクラウドとアイデンティティへの影響に結び付けて、エンドポイントのみのツールでは見逃しがちなエスカレーション、ラテラルムーブメント、ダウンストリームの影響など、キルチェーン全体を明らかにします。
調査を加速
Exaforceは、エンドポイント、クラウド、IDテレメトリを単一の攻撃タイムラインに統合し、自動エビデンス相関と視覚的な攻撃マッピングにより調査時間を数時間から数分に短縮します。
メリット
Exaforceは、実際のシステム動作とビジネスコンテキストを使用してノイズの多いEDRアラートを検証およびフィルタリングすることで、エンドポイントアラートの過負荷を軽減し、チームが真の脅威に集中できるようにします。CrowdStrikeの調査結果に、相関関係のあるエンドポイントログ、脅威情報、何が起こったのか、次に何をすべきかを明らかにする裏付けとなる証拠を盛り込むことで、アナリストのスピードと意思決定の質を向上させます。また、エンドポイント、ID、クラウドテレメトリを 1 つのタイムラインに統合することで、攻撃チェーン全体と対象範囲の影響をすばやく把握しやすくなるため、調査サイクルも短縮されます。