アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

エンドポイント セキュリティ ソリューションの比較

データは 2020 年 2 月時点のものです。

Cisco AMP for Endpoints

VMware Carbon Black Endpoint Security

CrowdStrike Falcon

Microsoft Defender ATP

すべて展開

検出

統合されている検出技術の数15Cisco AMP for Endpoints では格子状に構成された検出技術が採用されています。エクスプロイト防止機能ではデセプション技術によってメモリ内のアプリケーションが保護され、スクリプトとメモリが制御されます。システムプロセス保護機能では、すべてのプロセスが監視されます。AMP が提供する機能には、1:1 SHA マッチングエンジン(パブリック、プライベート、またはハイブリッド)、Tetra ウイルス対策、Threat Grid サンドボックス、ETHOS ファジー フィンガープリンティング、SPERO 機械学習、クラウド上の侵入の痕跡(IOC)およびレピュテーション分析、コマンドライン インタフェース(CLI)キャプチャ、メモリ/ファイルレス/スクリプト/変換保護、脆弱性のあるソフトウェア、Cognitive Threat Analytics(CTA)、カスタムハッシュ検出、ClamAV シグネチャ、およびアプリケーションブロックがあります。4Carbon Black は、ホワイトリスト、機械学習、動作分析、次世代のウイルス対策を採用しています。5CrowdStrike Falcon は、クラウドベースの次世代ウイルス対策および IOC 検出、ファイルレスマルウェアの攻撃の兆候(IOA)、機械学習および AI、ブラックリストとホワイトリスト、既知のエクスプロイトのブロッキング機能を採用しています。10Microsoft Defender ATP は、侵害後の検出、調査、および対応を行うツールです。Microsoft の保護ソリューションのほとんどは、Windows 10 オペレーティングシステムに組み込まれており、エンドポイント セキュリティ ベンダーに関係なくお客様に提供されます。脅威と脆弱性の管理、攻撃対象領域の削減、(ハードウェアベースの分離、アプリケーション制御、エクスプロイト保護、ネットワーク保護、フォルダアクセス管理、ネットワーク ファイアウォール、ウイルス対策)AV Scan Engine、App Execution Restriction、Network File Quarantine、および Collect Investigation Package は、Microsoft Defender ATP の一部です。
Cisco AMP for Endpoints では格子状に構成された検出技術が採用されています。エクスプロイト防止機能ではデセプション技術によってメモリ内のアプリケーションが保護され、スクリプトとメモリが制御されます。システムプロセス保護機能では、すべてのプロセスが監視されます。AMP が提供する機能には、1:1 SHA マッチングエンジン(パブリック、プライベート、またはハイブリッド)、Tetra ウイルス対策、Threat Grid サンドボックス、ETHOS ファジー フィンガープリンティング、SPERO 機械学習、クラウド上の侵入の痕跡(IOC)およびレピュテーション分析、コマンドライン インタフェース(CLI)キャプチャ、メモリ/ファイルレス/スクリプト/変換保護、脆弱性のあるソフトウェア、Cognitive Threat Analytics(CTA)、カスタムハッシュ検出、ClamAV シグネチャ、およびアプリケーションブロックがあります。Carbon Black は、ホワイトリスト、機械学習、動作分析、次世代のウイルス対策を採用しています。CrowdStrike Falcon は、クラウドベースの次世代ウイルス対策および IOC 検出、ファイルレスマルウェアの攻撃の兆候(IOA)、機械学習および AI、ブラックリストとホワイトリスト、既知のエクスプロイトのブロッキング機能を採用しています。Microsoft Defender ATP は、侵害後の検出、調査、および対応を行うツールです。Microsoft の保護ソリューションのほとんどは、Windows 10 オペレーティングシステムに組み込まれており、エンドポイント セキュリティ ベンダーに関係なくお客様に提供されます。脅威と脆弱性の管理、攻撃対象領域の削減、(ハードウェアベースの分離、アプリケーション制御、エクスプロイト保護、ネットワーク保護、フォルダアクセス管理、ネットワーク ファイアウォール、ウイルス対策)AV Scan Engine、App Execution Restriction、Network File Quarantine、および Collect Investigation Package は、Microsoft Defender ATP の一部です。
必要なエンドポイントエージェント数11 つの軽量な Cisco AMP for Endpoints エージェントと Cisco Threat Response により、このチャートに記載されているすべての機能が提供されます。特に明記しない限り、記載されている機能を満たすために他のシスコ製品を必要としません。1ここで説明されているすべての機能は、1 つのエンドポイントエージェントで実現できます。1ここで説明されているすべての機能は、1 つのエンドポイントエージェントで実現できます。1ここで説明されているすべての機能は、1 つのエンドポイントエージェントで実現できます。
1 つの軽量な Cisco AMP for Endpoints エージェントと Cisco Threat Response により、このチャートに記載されているすべての機能が提供されます。特に明記しない限り、記載されている機能を満たすために他のシスコ製品を必要としません。ここで説明されているすべての機能は、1 つのエンドポイントエージェントで実現できます。ここで説明されているすべての機能は、1 つのエンドポイントエージェントで実現できます。ここで説明されているすべての機能は、1 つのエンドポイントエージェントで実現できます。
継続的分析とレトロスペクティブ検出1 つの軽量な Cisco AMP for Endpoints エージェントと Cisco Threat Response により、このチャートに記載されているすべての機能が提供されます。特に明記しない限り、記載されている機能を満たすために他のシスコ製品を必要としません。限定的Carbon Black では、VMware Carbon Black Cloud Endpoint Standard を利用して継続的に分析が行われます。レトロスペクティブ検出は実行されません。限定的CrowdStrike Falcon は、エンドポイントを 5 秒間で可視化する DVR 機能を備えています。レトロスペクティブ検出は脅威検出の一環として手動で実行できます。限定的Defender ATP は継続的分析を採用しています。レトロスペクティブ検出は実行されません。
1 つの軽量な Cisco AMP for Endpoints エージェントと Cisco Threat Response により、このチャートに記載されているすべての機能が提供されます。特に明記しない限り、記載されている機能を満たすために他のシスコ製品を必要としません。Carbon Black では、VMware Carbon Black Cloud Endpoint Standard を利用して継続的に分析が行われます。レトロスペクティブ検出は実行されません。CrowdStrike Falcon は、エンドポイントを 5 秒間で可視化する DVR 機能を備えています。レトロスペクティブ検出は脅威検出の一環として手動で実行できます。Defender ATP は継続的分析を採用しています。レトロスペクティブ検出は実行されません。
デバイス トラジェクトリ継続的。Cisco AMP for Endpoints クライアントと Cisco Threat Response は、ホストがマルウェアを含むファイルをどのように取り扱っているのかをエンドポイント環境全体にわたってマッピングします。ファイル転送がブロックされたかどうかや、ファイルが検疫されたかどうかを確認できます。脅威を調査し、アウトブレイクコントロールを提供し、最初の感染を特定できます。Carbon Black では調査のプロセスツリーがきわめてわかりやすく表示されるため、調査プロセスを視覚的にアピールすることができます。 CrowdStrike は、ホストごとにデバイストラジェクトリを提供します。Microsoft は調査グラフを使用して詳細を表示します。
継続的。Cisco AMP for Endpoints クライアントと Cisco Threat Response は、ホストがマルウェアを含むファイルをどのように取り扱っているのかをエンドポイント環境全体にわたってマッピングします。ファイル転送がブロックされたかどうかや、ファイルが検疫されたかどうかを確認できます。脅威を調査し、アウトブレイクコントロールを提供し、最初の感染を特定できます。Carbon Black では調査のプロセスツリーがきわめてわかりやすく表示されるため、調査プロセスを視覚的にアピールすることができます。 CrowdStrike は、ホストごとにデバイストラジェクトリを提供します。Microsoft は調査グラフを使用して詳細を表示します。
複数の検出方法Cisco AMP は、ファジー フィンガープリンティング(ETHOS)、機械学習(SPERO)、ダイナミックファイル分析(Threat Grid)、1 対 1 の SHA マッチングという複数の検出手法を使用します。これらはすべて、世界最大の脅威インテリジェントグループである Talos によってサポートされています。Carbon Black は 150 種類の動作を検出しますが、トラジェクトリや動作 IOC の機能は備えていません。イベントは、シグネチャ、脆弱性、ポイントインタイム分析に基づいています。Falcon は、リアルタイムでストリーミングされる 120 種類のローカルイベントを検出でき、ハッシュと動作のブロック、クレデンシャル盗難と権限のエスカレーション、ブートセクター、プロセス、スタック、その他の技術を採用しています。Microsoft Defender ATP は、侵害後の検出、調査、および対応を行うツールです。Microsoft の保護ソリューションのほとんどは、Windows 10 オペレーティングシステムに組み込まれており、エンドポイント セキュリティ ベンダーに関係なくお客様に提供されます。AV Scan Engine、App Execution Restriction、Network File Quarantine、および Collect Investigation Package は、Microsoft Defender ATP の一部です。
Cisco AMP は、ファジー フィンガープリンティング(ETHOS)、機械学習(SPERO)、ダイナミックファイル分析(Threat Grid)、1 対 1 の SHA マッチングという複数の検出手法を使用します。これらはすべて、世界最大の脅威インテリジェントグループである Talos によってサポートされています。Carbon Black は 150 種類の動作を検出しますが、トラジェクトリや動作 IOC の機能は備えていません。イベントは、シグネチャ、脆弱性、ポイントインタイム分析に基づいています。Falcon は、リアルタイムでストリーミングされる 120 種類のローカルイベントを検出でき、ハッシュと動作のブロック、クレデンシャル盗難と権限のエスカレーション、ブートセクター、プロセス、スタック、その他の技術を採用しています。Microsoft Defender ATP は、侵害後の検出、調査、および対応を行うツールです。Microsoft の保護ソリューションのほとんどは、Windows 10 オペレーティングシステムに組み込まれており、エンドポイント セキュリティ ベンダーに関係なくお客様に提供されます。AV Scan Engine、App Execution Restriction、Network File Quarantine、および Collect Investigation Package は、Microsoft Defender ATP の一部です。
動的ファイル分析現在 Threat Grid は Cisco AMP for Endpoints に完全に統合されました。この自動化されたデトネーションエンジンは複数の手法を使って観察、分解、分析を行います。サンドボックス認識型のマルウェアに対する高い防御性を実現します。サンドボックス技術のパートナーとの統合ポイントが必要です。Lastline や Palo Alto などのベンダーは Carbon Black 向けの機能を提供できます。限定的Falcon サンドボックスは、クラウド導入とオンプレミス導入に対応していますが、NGIPS、侵害検出(BDS)、侵害防止(BPS)などのサポートシステムとは統合できません。限定的Microsoft はクラウドベースのサンドボックス保護を提供しますが、オンプレミス導入はサポートしていません。NGIPS、BDS、BPS などのサポートシステムとは統合できません。
現在 Threat Grid は Cisco AMP for Endpoints に完全に統合されました。この自動化されたデトネーションエンジンは複数の手法を使って観察、分解、分析を行います。サンドボックス認識型のマルウェアに対する高い防御性を実現します。サンドボックス技術のパートナーとの統合ポイントが必要です。Lastline や Palo Alto などのベンダーは Carbon Black 向けの機能を提供できます。Falcon サンドボックスは、クラウド導入とオンプレミス導入に対応していますが、NGIPS、侵害検出(BDS)、侵害防止(BPS)などのサポートシステムとは統合できません。Microsoft はクラウドベースのサンドボックス保護を提供しますが、オンプレミス導入はサポートしていません。NGIPS、BDS、BPS などのサポートシステムとは統合できません。
ファイル分析導入モデルオンプレミスとクラウドの両方に対応。Threat Grid のデトネーション技術は、Cisco AMP for Endpoints に完全に統合されています。また、クラウドの利用に制限があるお客様の場合は、ファイル分析機能をオンプレミスソリューションに分離することもできます。AMP Threat Grid は独自の分析機能、およびその他 100 種類の検出回避対策を使用するため、分析およびサンドボックスを回避しようとするマルウェアに検出されることはありません。Threat Grid は、最も幅広い分析技術を使用します。これには、ホスト、ネットワーク、静的分析、動的分析だけでなく、マスターブートレコードの実行前および実行後の分析が含まれます。サンドボックス技術のパートナーとの統合ポイントが必要です。限定的Falcon サンドボックスは、クラウド導入とオンプレミス導入に対応していますが、NGIPS、BDS、BPS などのサポートシステムとは統合できません。限定的Microsoft はクラウドベースのサンドボックス保護を提供しますが、オンプレミスの導入はサポートしていません。NGIPS、BDS、BPS のようなサポート システムとは統合しません。
オンプレミスとクラウドの両方に対応。Threat Grid のデトネーション技術は、Cisco AMP for Endpoints に完全に統合されています。また、クラウドの利用に制限があるお客様の場合は、ファイル分析機能をオンプレミスソリューションに分離することもできます。AMP Threat Grid は独自の分析機能、およびその他 100 種類の検出回避対策を使用するため、分析およびサンドボックスを回避しようとするマルウェアに検出されることはありません。Threat Grid は、最も幅広い分析技術を使用します。これには、ホスト、ネットワーク、静的分析、動的分析だけでなく、マスターブートレコードの実行前および実行後の分析が含まれます。サンドボックス技術のパートナーとの統合ポイントが必要です。Falcon サンドボックスは、クラウド導入とオンプレミス導入に対応していますが、NGIPS、BDS、BPS などのサポートシステムとは統合できません。Microsoft はクラウドベースのサンドボックス保護を提供しますが、オンプレミスの導入はサポートしていません。NGIPS、BDS、BPS のようなサポート システムとは統合しません。
API サポートイベント、侵入の痕跡(IOC)、およびデバイスデータの取得には REST API アクセス権を使用します。環境に合わせて API のスクリプト作成およびカスタマイズができます。オープン APIオープン APIOAuth 2.0 認証を使用した API アクセス。
イベント、侵入の痕跡(IOC)、およびデバイスデータの取得には REST API アクセス権を使用します。環境に合わせて API のスクリプト作成およびカスタマイズができます。オープン APIオープン APIOAuth 2.0 認証を使用した API アクセス。
低拡散度AMP for Endpoints は、エンドポイント全体にわたってわずかな数しか存在しない実行可能ファイルを自動的に識別し、クラウドベースのサンドボックスでそれらのサンプルを分析して、新たな脅威を発見します。標的型マルウェアや高度で永続的な脅威は、多くの場合、少数のエンドポイントから発生しますが、拡散度は高くありません。限定的低拡散率のアプリケーションと実行可能ファイルのリストは、手動で抽出して分析用に送信できます。限定的Falcon Discover が必要です。低拡散率のアプリケーションと実行可能ファイルのリストは、手動で抽出して分析用に送信できます。限定的低拡散率のアプリケーションと実行可能ファイルのリストは、手動で抽出して分析用に送信できます​​。
AMP for Endpoints は、エンドポイント全体にわたってわずかな数しか存在しない実行可能ファイルを自動的に識別し、クラウドベースのサンドボックスでそれらのサンプルを分析して、新たな脅威を発見します。標的型マルウェアや高度で永続的な脅威は、多くの場合、少数のエンドポイントから発生しますが、拡散度は高くありません。低拡散率のアプリケーションと実行可能ファイルのリストは、手動で抽出して分析用に送信できます。Falcon Discover が必要です。低拡散率のアプリケーションと実行可能ファイルのリストは、手動で抽出して分析用に送信できます。低拡散率のアプリケーションと実行可能ファイルのリストは、手動で抽出して分析用に送信できます​​。
ファイルトラジェクトリ(感染経路追跡)AMP for Endpoints および Cisco Threat Response は、侵害の範囲(該当するマルウェアの影響を受けるエンドポイントの数)の可視性を高めます。最初の感染を検出し、環境内のどのコンピュータで、いつマルウェアが最初に確認されたか、発生元は何か、ホスト間をどのように移動するかを特定します。追加で必要となるシスコ製品はありません。限定的Carbon Black の対象範囲の中心はローカルホストプロセスです。ファイルの側面から追跡したり、ファイルが移動した場所を追跡したりはしません。限定的CrowdStrike の対象範囲の中心はローカルホストプロセスで、攻撃インジケータが使用されます。ファイルの側面から追跡したり、ファイルが移動した場所を追跡したりはしません。限定的Defender ATP では、マルウェア感染の発生源および感染システムのゼロデータや、ネットワーク内での感染の動きは表示されません。
AMP for Endpoints および Cisco Threat Response は、侵害の範囲(該当するマルウェアの影響を受けるエンドポイントの数)の可視性を高めます。最初の感染を検出し、環境内のどのコンピュータで、いつマルウェアが最初に確認されたか、発生元は何か、ホスト間をどのように移動するかを特定します。追加で必要となるシスコ製品はありません。Carbon Black の対象範囲の中心はローカルホストプロセスです。ファイルの側面から追跡したり、ファイルが移動した場所を追跡したりはしません。CrowdStrike の対象範囲の中心はローカルホストプロセスで、攻撃インジケータが使用されます。ファイルの側面から追跡したり、ファイルが移動した場所を追跡したりはしません。Defender ATP では、マルウェア感染の発生源および感染システムのゼロデータや、ネットワーク内での感染の動きは表示されません。

防御

ホワイトリストとブラックリストAMP for Endpoints を使用すると、検出漏れをブラックリストに登録し、誤検出をホワイトリストに登録して、Cisco Talos で設定される処理を上書きできます。Bit9 はホワイトリストとブラックリストを初めて導入したアプリケーションの 1 つでした。現在の名前は Carbon Black Enterprise Protection/App Control です。これは、Carbon Black が提供するエンドポイント セキュリティ アーキテクチャの基礎となっています。CrowdStrike には、検出漏れをブラックリストに登録して誤検出をホワイトリストに登録する機能があるため、管理者は Falcon で設定された処理を上書きできます。Defender ATP には、検出漏れをブラックリストに登録して誤検出をホワイトリストに登録する機能があるため、管理者は事前設定済みの処理を上書きできます。
AMP for Endpoints を使用すると、検出漏れをブラックリストに登録し、誤検出をホワイトリストに登録して、Cisco Talos で設定される処理を上書きできます。Bit9 はホワイトリストとブラックリストを初めて導入したアプリケーションの 1 つでした。現在の名前は Carbon Black Enterprise Protection/App Control です。これは、Carbon Black が提供するエンドポイント セキュリティ アーキテクチャの基礎となっています。CrowdStrike には、検出漏れをブラックリストに登録して誤検出をホワイトリストに登録する機能があるため、管理者は Falcon で設定された処理を上書きできます。Defender ATP には、検出漏れをブラックリストに登録して誤検出をホワイトリストに登録する機能があるため、管理者は事前設定済みの処理を上書きできます。
ソフトウェアの脆弱性AMP では脆弱なアプリケーションの数と重大度を確認できます。また、環境内で該当のアプリケーションが確認されたエンドポイントの数も確認できます。各アプリケーションの脆弱性は関連する Common Vulnerabilities and Exposures(CVE)エントリにリンクできます。限定的Carbon Black で CVE に関連する脆弱性情報をホストに提供するには、IBM BigFix と統合する必要があります。オプションで Audit and Remediation(アドオン)を追加すると、手動で脆弱性を確認できます。限定的CrowdStrike Falcon Spotlight が必要です。ネットワーク上のホストに関連する特定の CVE を検索する方法はありません。Falcon は、IOA を使用してシステム上のエクスプロイトを検出します。CVE はシステムの調査情報内に存在します。 Defender ATP は、Windows 10 システム上のアプリケーションの脆弱性を表示することができます。
AMP では脆弱なアプリケーションの数と重大度を確認できます。また、環境内で該当のアプリケーションが確認されたエンドポイントの数も確認できます。各アプリケーションの脆弱性は関連する Common Vulnerabilities and Exposures(CVE)エントリにリンクできます。Carbon Black で CVE に関連する脆弱性情報をホストに提供するには、IBM BigFix と統合する必要があります。オプションで Audit and Remediation(アドオン)を追加すると、手動で脆弱性を確認できます。CrowdStrike Falcon Spotlight が必要です。ネットワーク上のホストに関連する特定の CVE を検索する方法はありません。Falcon は、IOA を使用してシステム上のエクスプロイトを検出します。CVE はシステムの調査情報内に存在します。 Defender ATP は、Windows 10 システム上のアプリケーションの脆弱性を表示することができます。
統合された高度な脅威からの保護(攻撃のデトネーション)AMP for Endpoints では、(ThreatGrid の完全統合を通じて提供される)組み込みのサンドボックス機能に加え、イベントの相関性、1300 を超える IOC、数十億のマルウェアアーティファクト、および理解しやすい脅威スコアが採用されています。AMP Endpoint は必要な機能をすべて備えた AV クライアントでもあるため、既存の AV ソリューションを置き換えて PCI/HIPAA の監査要件を満たすこともできます。 限定的Carbon Black 単体では、クローズドループ ATP は提供されません。Carbon Black は、個別のライセンシング、サポート、および管理によって、Lastline や Palo Alto Networks などの他のベンダーと統合できます。CrowdStrike Falcon サンドボックスには、700 種類の一般的な動作インジケータが含まれています。コンテンツ分析機能により、自動調査を通じて特定された疑わしいファイルがクラウドに送信され、追加検査を実施できます。
AMP for Endpoints では、(ThreatGrid の完全統合を通じて提供される)組み込みのサンドボックス機能に加え、イベントの相関性、1300 を超える IOC、数十億のマルウェアアーティファクト、および理解しやすい脅威スコアが採用されています。AMP Endpoint は必要な機能をすべて備えた AV クライアントでもあるため、既存の AV ソリューションを置き換えて PCI/HIPAA の監査要件を満たすこともできます。 Carbon Black 単体では、クローズドループ ATP は提供されません。Carbon Black は、個別のライセンシング、サポート、および管理によって、Lastline や Palo Alto Networks などの他のベンダーと統合できます。CrowdStrike Falcon サンドボックスには、700 種類の一般的な動作インジケータが含まれています。コンテンツ分析機能により、自動調査を通じて特定された疑わしいファイルがクラウドに送信され、追加検査を実施できます。
サンドボックス認識型マルウェアAMP では独自の分析メカニズムをはじめ、100 種類の反回避技術が採用されています。そのため、分析とサンドボックスを回避しようとするマルウェアによって AMP が検出されることはありません。限定的Carbon Black は、独自の高度な脅威からの保護(ATP)やサンドボックスを採用していません。マルウェアのデトネーション機能を提供するには、Palo Alto Networks、Lastline などと統合する必要があります。サードパーティ製品と統合しても、ATP またはサンドボックス認識型マルウェアは検出できません。限定的Falcon サンドボックスでは、サンドボックス認識型のマルウェアを検出できません。CrowdStrike は、ファイル実行時に静的ファイル データと動作データの両方を収集して、このデータをクラウドに送信し、機械学習を介して、ファイルがどれほど悪意のあるものなのかを示すスコアをそのファイルに付与します。ファイルに既知の動作を示す機能がある場合、CrowdStrike はファイルによる悪影響を防ぎますが、ファイルを削除するわけではありません。ファイルに兆候(エクスプロイト対策)がない場合、そのアセットはリスクにさらされる可能性があります(アクションはブロックされません)。CrowdStrike を無効化または削除すると、以前のマルウェアコードがアセット上に残されたままとなるため、アセットはリスクにさらされます。限定的検疫や復元などの特定のアクションは、OS により制限されます。Microsoft サンドボックスでは、サンドボックス認識型のマルウェアを検出できません。
AMP では独自の分析メカニズムをはじめ、100 種類の反回避技術が採用されています。そのため、分析とサンドボックスを回避しようとするマルウェアによって AMP が検出されることはありません。Carbon Black は、独自の高度な脅威からの保護(ATP)やサンドボックスを採用していません。マルウェアのデトネーション機能を提供するには、Palo Alto Networks、Lastline などと統合する必要があります。サードパーティ製品と統合しても、ATP またはサンドボックス認識型マルウェアは検出できません。Falcon サンドボックスでは、サンドボックス認識型のマルウェアを検出できません。CrowdStrike は、ファイル実行時に静的ファイル データと動作データの両方を収集して、このデータをクラウドに送信し、機械学習を介して、ファイルがどれほど悪意のあるものなのかを示すスコアをそのファイルに付与します。ファイルに既知の動作を示す機能がある場合、CrowdStrike はファイルによる悪影響を防ぎますが、ファイルを削除するわけではありません。ファイルに兆候(エクスプロイト対策)がない場合、そのアセットはリスクにさらされる可能性があります(アクションはブロックされません)。CrowdStrike を無効化または削除すると、以前のマルウェアコードがアセット上に残されたままとなるため、アセットはリスクにさらされます。検疫や復元などの特定のアクションは、OS により制限されます。Microsoft サンドボックスでは、サンドボックス認識型のマルウェアを検出できません。

対応

脅威検出Orbital Advanced Search では何百種類ものクエリがあらかじめ設定されているため、セキュリティ調査と脅威検出が容易になります。これにより、エンドポイントに対する複雑なクエリを迅速に実行でき、インシデント対応、脅威検出、IT 運用、または脆弱性とコンプライアンス対応の一環として何が起こったかを詳細に確認できます。限定的Carbon Black は、エンドポイントのクエリに osquery を使用しますが、動作侵害インジケータに対する高度なサンドボックス ソリューションとの統合には対応していません。定義済みクエリの数は限られています(64 種類のみ)。限定的CrowdStrike は、エンドポイントのクエリに Splunk Search を使用しますが、動作インジケータに対する高度なサンドボックス ソリューションとの統合には対応していません。定義済みクエリの数は限られています(11 種類のみ)。限定的Microsoft は、エンドポイントのクエリに Kusto Query Language を使用しますが、動作インジケータに対する高度なサンドボックス ソリューションとの統合には対応していません。脅威やマルウェアに着目した事前定義済みのクエリはありません。
Orbital Advanced Search では何百種類ものクエリがあらかじめ設定されているため、セキュリティ調査と脅威検出が容易になります。これにより、エンドポイントに対する複雑なクエリを迅速に実行でき、インシデント対応、脅威検出、IT 運用、または脆弱性とコンプライアンス対応の一環として何が起こったかを詳細に確認できます。Carbon Black は、エンドポイントのクエリに osquery を使用しますが、動作侵害インジケータに対する高度なサンドボックス ソリューションとの統合には対応していません。定義済みクエリの数は限られています(64 種類のみ)。CrowdStrike は、エンドポイントのクエリに Splunk Search を使用しますが、動作インジケータに対する高度なサンドボックス ソリューションとの統合には対応していません。定義済みクエリの数は限られています(11 種類のみ)。Microsoft は、エンドポイントのクエリに Kusto Query Language を使用しますが、動作インジケータに対する高度なサンドボックス ソリューションとの統合には対応していません。脅威やマルウェアに着目した事前定義済みのクエリはありません。
マルウェア修復悪意のあるファイルを自動的に隔離または削除できます。悪意のあるファイルを自動的に隔離または削除できます。悪意のあるファイルを自動的に隔離または削除できます。悪意のあるファイルを自動的に隔離または削除できます。
悪意のあるファイルを自動的に隔離または削除できます。悪意のあるファイルを自動的に隔離または削除できます。悪意のあるファイルを自動的に隔離または削除できます。悪意のあるファイルを自動的に隔離または削除できます。
マルウェアのゲートウェイの判定マルウェアやその他のファイルのエントリポイントを公開してレスポンダが迅速に根本原因を評価し、さらなる発生に対して適切な施策を実行できるようにします。サードパーティ ソリューションへの統合ポイントを通じてのみ可能です。Falcon はインシデントの根本原因の特定に使用できます。根本原因の特定が可能です。
マルウェアやその他のファイルのエントリポイントを公開してレスポンダが迅速に根本原因を評価し、さらなる発生に対して適切な施策を実行できるようにします。サードパーティ ソリューションへの統合ポイントを通じてのみ可能です。Falcon はインシデントの根本原因の特定に使用できます。根本原因の特定が可能です。
カスタム検出エンドポイントのアクティビティに基づいて、エンドポイントとネットワーク制御側の両方にわたる疑わしいファイルや標的型攻撃に対し、管理者が完全な保護を迅速に適用するのに役立ちます。カスタム検出とブロッキングを実行するには、カスタムのファイルハッシュを追加する必要があります。カスタム検出とブロッキングを実行するには、カスタムのファイルハッシュを追加する必要がありま​​す。カスタム検出とブロッキングを実行するには、カスタムのファイルハッシュを追加する必要がありま​​す。
エンドポイントのアクティビティに基づいて、エンドポイントとネットワーク制御側の両方にわたる疑わしいファイルや標的型攻撃に対し、管理者が完全な保護を迅速に適用するのに役立ちます。カスタム検出とブロッキングを実行するには、カスタムのファイルハッシュを追加する必要があります。カスタム検出とブロッキングを実行するには、カスタムのファイルハッシュを追加する必要がありま​​す。カスタム検出とブロッキングを実行するには、カスタムのファイルハッシュを追加する必要がありま​​す。
ファイルの検索およびフェッチ管理者は AMP と Cisco Threat Response を利用して組織内の疑わしいファイルを捕捉し、インストールベースへの拡散を確認して、詳細な調査や分析のために、任意のエンドポイントからファイルを取得することができます。ファイルは、エンドポイントから検索およびフェッチできます。限定的ファイルを検索することはできますが、フェッチはできません。限定的ファイルを検索することはできますが、フェッチはできません。
管理者は AMP と Cisco Threat Response を利用して組織内の疑わしいファイルを捕捉し、インストールベースへの拡散を確認して、詳細な調査や分析のために、任意のエンドポイントからファイルを取得することができます。ファイルは、エンドポイントから検索およびフェッチできます。ファイルを検索することはできますが、フェッチはできません。ファイルを検索することはできますが、フェッチはできません。
脆弱なアプリケーションの可視性AMP はエンドポイント環境内の脆弱なアプリケーションを公開し、管理者およびレスポンダが、パッチ管理プロセスを適切に指示および通知できるようにします。限定的Carbon Blackは、CVE に関連する脆弱性をホストに提供するため、IBM BigFix と統合する必要があります。監査と修復 (アドオン) は、オプションで手動で脆弱性を可視化するために使用できます。限定的Carbon Black で CVE に関連する脆弱性情報をホストに提供するには、IBM BigFix と統合する必要があります。オプションで Audit and Remediation(アドオン)を追加すると、手動で脆弱性を確認できます。Windows 10 では、脆弱なアプリケーションと OS エンティティを表示できます。
AMP はエンドポイント環境内の脆弱なアプリケーションを公開し、管理者およびレスポンダが、パッチ管理プロセスを適切に指示および通知できるようにします。Carbon Blackは、CVE に関連する脆弱性をホストに提供するため、IBM BigFix と統合する必要があります。監査と修復 (アドオン) は、オプションで手動で脆弱性を可視化するために使用できます。Carbon Black で CVE に関連する脆弱性情報をホストに提供するには、IBM BigFix と統合する必要があります。オプションで Audit and Remediation(アドオン)を追加すると、手動で脆弱性を確認できます。Windows 10 では、脆弱なアプリケーションと OS エンティティを表示できます。
DNS レベルの統合型保護マルウェアに関連付けられた悪意のあるドメインを公開し、ユーザが Umbrella 統合を通じてアクセスを動的にブロックできるようにします。データ漏洩につながるコマンド & コントロールコールバックを防止し、ランサムウェアによる暗号化の実行を阻止します。最新の脅威データと、ドメイン、IP、ファイルハッシュに関する履歴情報を提供されるため、調査を迅速化できます。限定的関連付けと適用のために Carbon Black にドメインレピュテーションを提供する Infoblox サービスを利用する必要があります。限定的Falcon DNS には Falcon Overwatch が必要です。これは、DNS モニタリングとアラート発行を行うマネージドサービスとして提供されます。限定的DNS レベルの統合型保護機能は提供されていません。
マルウェアに関連付けられた悪意のあるドメインを公開し、ユーザが Umbrella 統合を通じてアクセスを動的にブロックできるようにします。データ漏洩につながるコマンド & コントロールコールバックを防止し、ランサムウェアによる暗号化の実行を阻止します。最新の脅威データと、ドメイン、IP、ファイルハッシュに関する履歴情報を提供されるため、調査を迅速化できます。関連付けと適用のために Carbon Black にドメインレピュテーションを提供する Infoblox サービスを利用する必要があります。Falcon DNS には Falcon Overwatch が必要です。これは、DNS モニタリングとアラート発行を行うマネージドサービスとして提供されます。DNS レベルの統合型保護機能は提供されていません。
あらゆる脅威媒体にわたる広範な脅威情報AMP は Talos の脅威インテリジェンスと直接連動しているため、Talos で確認された問題は AMP でもすぐに確認できます。AMP を利用すれば、所属組織または他組織のファイアウォール、Web URL、DNS エントリ、その他のエンドポイント、または電子メールゲートウェイによって検出された脅威からエンドポイントを即座に防御することができます。AMP は Unity フレームワークをベースとして構築されているため、あらゆる脅威媒体にわたってグローバルに脅威情報を確認できます。限定的ファイアウォール、エンドポイント、電子メールゲートウェイ、DNS などのさまざまな脅威媒体の情報が不足しています。限定的ファイアウォール、DNS、電子メールゲートウェイなどのさまざまな脅威媒体の情報が不足しています。限定的ファイアウォールや DNS などのさまざまな脅威媒体の情報が不足しています。
AMP は Talos の脅威インテリジェンスと直接連動しているため、Talos で確認された問題は AMP でもすぐに確認できます。AMP を利用すれば、所属組織または他組織のファイアウォール、Web URL、DNS エントリ、その他のエンドポイント、または電子メールゲートウェイによって検出された脅威からエンドポイントを即座に防御することができます。AMP は Unity フレームワークをベースとして構築されているため、あらゆる脅威媒体にわたってグローバルに脅威情報を確認できます。ファイアウォール、エンドポイント、電子メールゲートウェイ、DNS などのさまざまな脅威媒体の情報が不足しています。ファイアウォール、DNS、電子メールゲートウェイなどのさまざまな脅威媒体の情報が不足しています。ファイアウォールや DNS などのさまざまな脅威媒体の情報が不足しています。

アーキテクチャ

オペレーティング システム サポートWindows(XP、7、10 以降)、MacOS、Linux、Android、および iOS Apple とシスコは API パートナーシップを結んでいるため、Cisco AMP は iOS で利用可能な唯一のマルウェア対策ソフトウェアです。限定的Windows、MacOS、および Linux(モバイルデバイスの保護機能なし)。限定的Windows、MacOS、および Linux (モバイルデバイス用の Falcon は別途購入が必要)。限定的Microsoft が重点的に対象としているのは Windows 10 です。MacOS(EDR)はすでにサポートされ、Linux も今後サポートされる予定です。MacOS と Linux(SentinelOne、Ziften、Bitdefender を含む)のサポートに向けた既存のパートナーシップの将来については不明です。
Windows(XP、7、10 以降)、MacOS、Linux、Android、および iOS Apple とシスコは API パートナーシップを結んでいるため、Cisco AMP は iOS で利用可能な唯一のマルウェア対策ソフトウェアです。Windows、MacOS、および Linux(モバイルデバイスの保護機能なし)。Windows、MacOS、および Linux (モバイルデバイス用の Falcon は別途購入が必要)。Microsoft が重点的に対象としているのは Windows 10 です。MacOS(EDR)はすでにサポートされ、Linux も今後サポートされる予定です。MacOS と Linux(SentinelOne、Ziften、Bitdefender を含む)のサポートに向けた既存のパートナーシップの将来については不明です。
導入モデルクラウドとオンプレミスの両方に対応AMP はクラウドで 100% 管理されるため、TCO の削減につながります。また、米国政府など、クラウドの利用に制限がある組織向けにオンプレミスソリューションとしても提供されています。限定的/クラウドのみ製品に応じて、オンプレミスまたはクラウドで提供されます。VMware Carbon Black Cloud Endpoint Standard (次世代 AV および動作 EDR)はクラウドベースのみです。App Control と Carbon Black EDR(ハイブリッド環境向けの脅威検出と IR ソリューション)はオンプレミス環境で利用できます。 ハイブリッド環境)オンプレミス環境で利用できます。限定的/クラウドのみクラウドでのみ展開されます。現時点で民間企業/エアギャップネットワーク向けのオンプレミス導入はありません(オンプレミス導入では、Falcon サンドボックスのみ利用可能)。限定的/クラウドのみクラウドでのみ展開されます。現時点で民間企業/エアギャップネットワーク向けのオンプレミス導​​入はありません。
AMP はクラウドで 100% 管理されるため、TCO の削減につながります。また、米国政府など、クラウドの利用に制限がある組織向けにオンプレミスソリューションとしても提供されています。製品に応じて、オンプレミスまたはクラウドで提供されます。VMware Carbon Black Cloud Endpoint Standard (次世代 AV および動作 EDR)はクラウドベースのみです。App Control と Carbon Black EDR(ハイブリッド環境向けの脅威検出と IR ソリューション)はオンプレミス環境で利用できます。 ハイブリッド環境)オンプレミス環境で利用できます。クラウドでのみ展開されます。現時点で民間企業/エアギャップネットワーク向けのオンプレミス導入はありません(オンプレミス導入では、Falcon サンドボックスのみ利用可能)。クラウドでのみ展開されます。現時点で民間企業/エアギャップネットワーク向けのオンプレミス導​​入はありません。
オフラインサポートオフライン保護機能は、エクスプロイト防止、AV、AMP エンジンにより常時提供されます。Carbon Black は、VMware Carbon Black Cloud Endpoint Standard のオフラインサポートを提供しています。ホストがネットワークに接続されていない場合でも Falcon は引き続き実行されます。ただし、この機能の有効性は一般向けに実証されていません。Defender ATP は、攻撃対象の削減と AV を利用してオフライン保護を提供します。
オフライン保護機能は、エクスプロイト防止、AV、AMP エンジンにより常時提供されます。Carbon Black は、VMware Carbon Black Cloud Endpoint Standard のオフラインサポートを提供しています。ホストがネットワークに接続されていない場合でも Falcon は引き続き実行されます。ただし、この機能の有効性は一般向けに実証されていません。Defender ATP は、攻撃対象の削減と AV を利用してオフライン保護を提供します。
クローズドループの検出、他のプラットフォームとの統合Cisco Firepower NGFW、Firepower NGIPS、ISE、およびその他の AMP プラットフォーム(電子メールおよび Web セキュリティ用 AMP)と統合されています。この統合は複数のプラットフォームを所有している組織向けのものであり、このチャートに記載されている AMP for Endpoints の機能を満たすために複数のプラットフォームを所有する必要はありません。限定的オープン API 一般的なスクリプト言語を取り込むことができます。Palo Alto Networks、Check Point、Blue Coat、Cyphort、Fidelis、Damballa、Splunk、Red Canary などのソリューションと統合できます。 Falcon API と Falcon Streaming API がサードパーティ向けに用意されています。限定的特定のサードパーティ製 SIEM ソリューションとオーケストレーション/自動化プラットフォーム、およびマネージド サービス プロバイダーと統合されています。MacOS と Linux 向け Bitdefender、SentinelOne、Ziften、および脅威のインテリジェンスに対する Palo Alto Network や ThreatConnect、MTTD の Morphisec と統合されています。Skype for Business 統合、Azure ATP、Office 365 Threat Intelligence 接続、Microsoft Cloud App Security、Azure Information Protection、Microsoft Intune などの Microsoft 独自のサービスと統合されています。
Cisco Firepower NGFW、Firepower NGIPS、ISE、およびその他の AMP プラットフォーム(電子メールおよび Web セキュリティ用 AMP)と統合されています。この統合は複数のプラットフォームを所有している組織向けのものであり、このチャートに記載されている AMP for Endpoints の機能を満たすために複数のプラットフォームを所有する必要はありません。オープン API 一般的なスクリプト言語を取り込むことができます。Palo Alto Networks、Check Point、Blue Coat、Cyphort、Fidelis、Damballa、Splunk、Red Canary などのソリューションと統合できます。 Falcon API と Falcon Streaming API がサードパーティ向けに用意されています。特定のサードパーティ製 SIEM ソリューションとオーケストレーション/自動化プラットフォーム、およびマネージド サービス プロバイダーと統合されています。MacOS と Linux 向け Bitdefender、SentinelOne、Ziften、および脅威のインテリジェンスに対する Palo Alto Network や ThreatConnect、MTTD の Morphisec と統合されています。Skype for Business 統合、Azure ATP、Office 365 Threat Intelligence 接続、Microsoft Cloud App Security、Azure Information Protection、Microsoft Intune などの Microsoft 独自のサービスと統合されています。

統合

統合REST API。オープン API 一般的なスクリプト言語を取り込むことができます。Palo Alto Networks、Check Point、Blue Coat、Cyphort、Fidelis、Damballa、Splunk、Red Canary などのソリューションと統合できます。Falcon API と Falcon Streaming API がサードパーティ向けに用意されています。Defender ATP は、特定のサードパーティ製 SIEM ソリューションとオーケストレーション/自動化プラットフォーム、およびマネージド サービス プロバイダーと統合されています。MacOS と Linux 向け Bitdefender、SentinelOne、Ziften、および脅威のインテリジェンスに対するPalo Alto NetworkやThreatConnect、MTTD の Morphisec と統合されています。Skype for Business 統合、Azure ATP、Office 365 Threat Intelligence 接続、Microsoft Cloud App Security、Azure Information Protection、Microsoft Intune などの Microsoft 独自のサービスと統合されています。
REST API。オープン API 一般的なスクリプト言語を取り込むことができます。Palo Alto Networks、Check Point、Blue Coat、Cyphort、Fidelis、Damballa、Splunk、Red Canary などのソリューションと統合できます。Falcon API と Falcon Streaming API がサードパーティ向けに用意されています。Defender ATP は、特定のサードパーティ製 SIEM ソリューションとオーケストレーション/自動化プラットフォーム、およびマネージド サービス プロバイダーと統合されています。MacOS と Linux 向け Bitdefender、SentinelOne、Ziften、および脅威のインテリジェンスに対するPalo Alto NetworkやThreatConnect、MTTD の Morphisec と統合されています。Skype for Business 統合、Azure ATP、Office 365 Threat Intelligence 接続、Microsoft Cloud App Security、Azure Information Protection、Microsoft Intune などの Microsoft 独自のサービスと統合されています。

サードパーティによる検証

AV 比較テストレポート 2019 年 12 月AV 比較テスト:マルウェア防御テストでの有効性は 99.5%(誤アラームはゼロ)。実際の保護テストでは、誤アラームは 1 つのみで 97.2% の高い保護率を実現しています。AV 比較テストには参加しませんでした。限定的AV 比較テスト:マルウェア防御テストでの有効性は 96%。実際の保護テストでは、誤アラームは 6 つのみで 96.4% の保護率を実現しています。限定的AV 比較テスト:保護率は 99.6% ですが、実際の保護テストではベンダー 17 社中、誤アラームの数が最も多くなっています(45 件)(ブロッキングしきい値が積極的に設定されているため、セキュリティアナリストの負担が大きくなる可能性があります)。
AV 比較テスト:マルウェア防御テストでの有効性は 99.5%(誤アラームはゼロ)。実際の保護テストでは、誤アラームは 1 つのみで 97.2% の高い保護率を実現しています。AV 比較テストには参加しませんでした。AV 比較テスト:マルウェア防御テストでの有効性は 96%。実際の保護テストでは、誤アラームは 6 つのみで 96.4% の保護率を実現しています。AV 比較テスト:保護率は 99.6% ですが、実際の保護テストではベンダー 17 社中、誤アラームの数が最も多くなっています(45 件)(ブロッキングしきい値が積極的に設定されているため、セキュリティアナリストの負担が大きくなる可能性があります)。

その他のサービス

サイバーセキュリティ保険サイバー保険の実現に向けたシスコ、Apple、Allianz、Aon のコラボレーションは、業界初の取り組みです。これらの 4 社が連携し、サイバーリスクに対して断固として立ち向かう包括的なフレームワークを組織向けに提供することにより、セキュリティを強化してリスクを軽減し、セキュリティが侵害された際にはそのコストを完全にカバーする適切なツールやサイバー保険にスムーズにアクセスできる体制の整備が進められています。提供されていません。限定的「EPP Complete を使用しているお客様が EPP Complete によって保護されるべき環境内で侵害を経験した場合」、最大 100 万ドルの侵害防止保証が Falcon EPP により提供されます。したがって、侵害が発生しても Falcon がそれを検出できない場合、保証は提供されません。提供されていません。
サイバー保険の実現に向けたシスコ、Apple、Allianz、Aon のコラボレーションは、業界初の取り組みです。これらの 4 社が連携し、サイバーリスクに対して断固として立ち向かう包括的なフレームワークを組織向けに提供することにより、セキュリティを強化してリスクを軽減し、セキュリティが侵害された際にはそのコストを完全にカバーする適切なツールやサイバー保険にスムーズにアクセスできる体制の整備が進められています。提供されていません。「EPP Complete を使用しているお客様が EPP Complete によって保護されるべき環境内で侵害を経験した場合」、最大 100 万ドルの侵害防止保証が Falcon EPP により提供されます。したがって、侵害が発生しても Falcon がそれを検出できない場合、保証は提供されません。提供されていません。
マネージド セキュリティ サービスCisco Managed Detection and Response(MDR)のサービスには、24 時間体制の攻撃分析、インシデントモニタリング、Cisco Collective Security Intelligence Enrichment(Talos を含む)、ログおよびテレメトリ収集、メタデータ抽出、ルールベース分析、フルパケットキャプチャ、細やかなインシデントサポート、カスタマーポータル、プロアクティブな脅威検出があります。限定的VMware Carbon Black Cloud Managed Detection では、アラートの分析と優先順位付けによるアラート検証、トレンドモニタリング、根本原因分析のためのアラートのコンテキストが提供されます。Falcon Overwatch は、24 時間体制のオペレーションとアラートの優先順位付けを提供します。限定的Microsoft Defender ATP の Microsoft Threat Experts サービスによるマネージド型の脅威検出。
Cisco Managed Detection and Response(MDR)のサービスには、24 時間体制の攻撃分析、インシデントモニタリング、Cisco Collective Security Intelligence Enrichment(Talos を含む)、ログおよびテレメトリ収集、メタデータ抽出、ルールベース分析、フルパケットキャプチャ、細やかなインシデントサポート、カスタマーポータル、プロアクティブな脅威検出があります。VMware Carbon Black Cloud Managed Detection では、アラートの分析と優先順位付けによるアラート検証、トレンドモニタリング、根本原因分析のためのアラートのコンテキストが提供されます。Falcon Overwatch は、24 時間体制のオペレーションとアラートの優先順位付けを提供します。Microsoft Defender ATP の Microsoft Threat Experts サービスによるマネージド型の脅威検出。