どんな製品か
Cybereason(サイバーリーズン)は、EDR/XDR を中心に提供するエンドポイントセキュリティベンダーです。端末にエージェントを導入し、侵入後の不審な挙動を検知・調査・対応します。特徴は、個々のアラートを並べるのではなく、関連する一連の活動を「攻撃の流れ」としてまとめて見せる考え方で、これを MalOp(Malicious Operation)と呼んで可視化する点にあります。日本国内でも知名度のある製品です。
主な特徴
- 端末上の活動を継続的に記録し、攻撃の兆候を検知する EDR を中核とする。
- 関連する事象を
MalOpという単位にまとめ、攻撃の全体像を時系列で把握しやすくする。 - 個別アラートの洪水を避け、対応すべき事象を集約して示すことを志向する。
- 端末の隔離など、コンソールからの対応操作に対応する。
- メールやクラウドなど端末外のデータも取り込み、XDR として横断分析へ広げられる。
位置づけ / 他との違い
EDR/XDR の領域では CrowdStrike や SentinelOne などと競合しますが、その中で「攻撃をストーリーとして見せる」分析手法を差別化点として打ち出しています。多数のアラートを一つひとつ追うのではなく、関連付けて攻撃単位で捉えることで、調査担当者の負荷軽減と全体像の把握を狙う設計です。EDR である以上、上がった MalOp を読み解く人の運用は前提で、MDR(運用代行)と組み合わせる構成も選ばれます。
MalOp という考え方
個別のアラートではなく、関連活動をまとめた MalOp を基本単位にする点が特徴です。アラート件数の多寡だけでなく、攻撃をどうまとめて見せるかという観点で評価すると違いが分かりやすくなります。
Security Vendor
Cybereasonを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
標的型・ランサム対策
比較で見る軸
対応カテゴリ: 1領域 / 主な領域: エンドポイント検知・対応
導入後に効く点
侵入後の検知・対応
先に潰すリスク
ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。
数字・仕様の読み方
- 対応カテゴリ
- 1領域
- 主な領域
- エンドポイント検知・対応
判断チェックリスト
- 自社の用途が「標的型・ランサム対策 / インシデント調査・対応」に近いか確認する。
- 強みである「侵入後の検知・対応」が本当に評価軸になるか確認する。
- 注意点の「ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
次に確認する観点
標的型・ランサム対策インシデント調査・対応SOC / MDR 運用EDR / XDR