CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった | ソフトアンテナ
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった 2024 7/20 Windowsデバイスで広範囲にブルースクリーン・オブ・デス(BSOD)が発生し、航空会社、銀行、医療機関など、さまざまな分野で業務が中断しています。 原因は、クラウドベースの総合セキュリティソリューション「CrowdStrike Falcon」のアップデートによって配信されたドライバーファイルにあり、CrowdStrikeは問題を認め、MacやLinux PCには影響しないと説明しています。 今回の問題は突然発生したかのように思えますが、実は同じような問題が数ヶ月前にも発生し、DebianとRocky Linuxのユーザーが大きな影響を受けていたことがわかりました(Neowin)。 Hacker Newsによると今年の4月、CrowdStrikeのアップデートによ
EDR製品の有効性について質問させてください。 EDR製品を導入していれば、いわゆる標的型攻撃にみられるような不審なネットワーク探索をほぼ確実に検知できると考えて良いものなのでしょうか? それともEDR製品ではどうしても検知できないネットワーク探索手法も存在するのでしょうか? まず、EPP(Endpoint Protection Platform)とEDR(Endpoint Detection and Response)という二つの用語について説明します。 EPPは従来のウイルス対策ソフトをEDRとの対比のためにこう呼んでいますが、基本的にはシグネチャにより、パソコン等に入ってきたファイルをチェックして、マルウェアと判定したら隔離や警告をするものです。 EDRは、エンドポイント(パソコンやサーバー)の挙動を見張っていて、マルウェア特有の挙動を検知(Detection)したら、対応(Resp
PlantUML + ERDでPlantERDです github.com モチベーション PlantERDの特徴 使い方 出力するテーブル数の制限について 技術的に頑張ったこと テストのこと Foreign keyで隣接している別のテーブルを探す方法 複数DB対応のつらみ 追記:2019/12/13 9:45 モチベーション 既存プロダクトへの不満が一番大きいです。 https://github.com/voormedia/rails-erd は出力が画像なので取り回ししづらい そもそもRails前提なので他言語とかでは使えない https://github.com/schemaspy/schemaspy も悪くなさそうなんだけどここまでリッチじゃなくていい テーブル数個の小規模アプリならいいんだけど、中規模以上のアプリで使うと人間が読むに耐えないERDが生成されて精神が崩壊する 僕は初め
CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について - セキュリティ事業 - マクニカ
CrowdStrike社のセキュリティソフトに起因するWindowsのシステム障害(BSOD)について 7月19日に発生しましたWindowsを搭載したパソコンでの全世界的なシステム障害につきまして、CrowdStrike社(以下CS社)のセキュリティソフトFalcon Sensorのアップデートに起因する障害であると、同社から連絡を受けております。マクニカでは、CS社の国内販売代理店として、本障害に関する情報を入手し次第、弊社ホームページ上にてご報告してまいります。 すでに、CS社からは、問題の原因は突き止め、復旧とお客様へのサポートに全力を尽くしていると報告を受けています。弊社でも、現在、ご契約のお客様の業務が復旧するよう全力でサポートに当たっております。お客様、販売パートナー様におかれましては、下記を参考の上、ご不明な点等ございましたら、弊社問い合わせ先までご連絡いただけますよう、ご
もうEDRしか勝たんという話 株式会社LITALICOでCSIRTはじめセキュリティ万事担当しております@taro-hiroiです。 アドベントカレンダーなどというハイカラなものは若い衆に任せておきたかったのですが 一念発起しCSIRT最前線から熱いEDR推しの怪文書をしたためました。 EDR欲しいが一歩踏み出せないセキュリティ担当者や情シス、駆け出しCSIRTの方に届けこの想い。 EDRはいいぞ。 そもそもEDRってなんぞや Endpoint Detection and Response の頭文字。 なんのこっちゃ、という話ですが要するに「エンドポイントの情報(インストールされているアプリケーション、ログ、起動プロセスなど)を収集し、エンドポイントでの脅威検知及び対応を支援するツール」ってなところです。 所謂アンチウィルスソフトウェアと呼ばれてきたもの(これはこれでEndPointPro
世界で同時多発的に発生している、Windowsのブルースクリーン障害。国内外で影響が出ており、各国の空港・航空会社でシステム障害が発生している他、イギリスではロンドン証券取引所が、米国では緊急通報サービスなどに影響。国内でも複数の企業が障害のあおりを受けている。 これらの障害の多くは、米CrowdStrike製セキュリティソフトを導入しているPCで発生することが判明している。すでに同社から回復方法が案内されているものの、アップデートなど自動更新で解決するものではなく、Windowsシステムを直接触る必要があるため、回復までに相応の時間がかかると見込まれる。 ブルースクリーン障害の影響を受けている1社である、ユニバーサル・スタジオ・ジャパン(大阪市)によると、午後2時ごろからパーク内店舗のPOSレジでブルースクリーンが発生。午後2時半にはレジ復旧のため全店舗の営業を終了。現在復旧作業に当たっ
私はとある企業で Incident Response サービスを提供しています。その中で、安全宣言発出のサポートを行うため、お客様が導入している EDR 製品のログを使って分析を行うことがあります。複数の EDR 製品のログを分析してきた経験から得た、 私が考える Incdient Response における網羅的調査のあるべき論を紹介します。 EDR はビジネス的思惑が強く働いており、過大評価されている側面があり、 EDR の有用性について本音で語られていないのではないでしょうか。そういったビジネス的側面を排除しフラットに語るため、個人ブログに記したいと思います。あくまで個人的見解であり、所属企業とは無関係ですし、特定のセキュリティ企業や製品を批判する意図はまったくありません。純粋に、世の中をより良くしたい、日本の産業を守りたいという想いのみで書いています。間違っている、議論の余地がある
新型車への装着が義務化された「EDR」という装置を知っているでしょうか。航空機のブラックボックスのようなものですが、実際の事故への活用が進んでいないことが判明。このままでは、ユーザーはコストを負担しているだけともいえます。 車両安全対策に役立つ、という国交省 自動車のEDR(イベント・データ・レコーダー)の搭載が2022年7月1日の新型モデルから義務化されました。4年後には旧モデルの新車(継続生産車)にも適用され、その対象は二輪車を除く約7800万台。でも、すでにほとんどの新車に装着済みなのに、なぜかほとんどの人が知らない。保安基準に盛り込まれた文字通りのブラックボックスは、このままでいいのでしょうか。 追突事故のイメージ。事故時の運転に関わるデータはEDRに記録される(画像:写真AC) EDRは、車両の衝突時に、その前後数秒間の車両情報を数値として記録する装置です。数値を解析すると、事故
セキュリティ製品/サービスを「Microsoft Defender」ブランドに統一:Microsoft Azure最新機能フォローアップ(122) Microsoftは2020年9月に開催した仮想カンファレンス「Ignite 2020」で、Microsoft AzureとMicrosoft 365(旧称、Office 365)の“Threat Protection”や“Advanced Threat Protection(ATP)”として知られる一連のサービスの名称変更を発表しました。以前の名称から大きく変更されることになるため、今後、順次行われることになるであろう管理UIへの反映や、オンラインまたはオフラインのドキュメントの参照の際には注意してください。 Microsoft Azure最新機能フォローアップ 「Threat Protection」の大幅なサービス名変更を実施 Micros
ドライバーにとって身近なドライブレコーダーは、事故時などの状況を記録するための録画デバイスだが、実は、より詳細なデータを得られる“事故記録装置”が、すでに多くの新車に実装されていることをご存じだろうか? このEDRで記録したデータを分析すれば、驚くほど詳細な客観的事実がわかるという。では具体的に何がわかるのか? EDRのデータを“文章化”してレポートする、日本では数少ない認定アナリストが解説します。 文:松田秀士(レーシングドライバー/自動車評論家) 写真:Bosch、Honda、編集部 【画像ギャラリー】図解で解説! “事故詳細記録装置”EDRとCDRの仕組みとは? なぜ速度までわかるの? 320km/hの事故経験で芽生えた疑問 20年前の2000年5月。筆者はインディ500の決勝レースに駒を進めるため、予選前の走行を行っていました。約1kmの直線では約380km/hに達し、そのままアク
How do I recover AWS resources that were affected by the CrowdStrike Falcon agent? Short description On July 19th 2024 at 04:09 UTC, an update to the CrowdStrike Falcon agent (csagent.sys) caused Windows based devices to experience unplanned stop errors or blue screen. Affected devices include Amazon Elastic Compute Cloud (Amazon EC2) instances and Amazon WorkSpaces Personal virtual desktops. This
EDRとは何か?従来のアンチウイルスの「次の段階」 EDR(Endpoint Detection and Response:エンドポイントにおける検知と対応)とは、PC、スマートフォン、タブレットなどエンドポイント端末での不審な挙動を検知して、管理者や利用者が迅速に対応するためのソリューションです。 管理者は不審な挙動に関する通知を受け取ったあと、EDRで取得したPCや通信のログを取得・分析し、侵入経路の調査や不審なファイルの特定などの対策を行います。 「EDRは、EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム、従来型のアンチウイルス製品)の次の段階のエンドポイント保護ソリューションと言えます。EPPとセットで利用することが前提で、EPPの検知をすり抜けたサイバー攻撃であっても、不審な挙動や疑わしいファイルを検知・対応できることがありま
GitHub - grapl-security/grapl: Graph platform for Detection and Response
Grapl leverages graph data structures at its core to ensure that you can query and connect your data efficiently, model complex attacker behaviors for detection, and easily delve into suspicious behaviors to understand the full scope of an ongoing intrusion. For a more in depth overview of Grapl, read this. Essentially, Grapl will take raw logs, convert them into graphs, and merge those graphs int
Blinding EDR On Windows
Acknowledgements My understanding of EDRs would not be possible without the help of many great security researchers. Below are some write-ups and talks that really helped me gain the understanding needed and hit the ground running on the research that will be presented here. If you are interested to go deeper, be sure to check out the following research (in no particular order): Jackson T: A Guide
JR東日本、グループ6万台の端末にEDRを展開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 東日本旅客鉄道(JR東日本)グループの情報システム会社のJR東日本情報システム(JEIS)がEDR(エンドポイント型脅威検知・対応)ツールをグループ各社の6万台の端末(エンドポイント)に導入し、各社に対して新たに「JR東日本エンドポイントセキュリティサービス」の提供を開始する。EDR製品メーカーのクラウドストライクと製品導入を支援したマクニカが発表した。 JEISは、JR東日本グループで「Suica・駅サービスソリューション」や鉄道事業ソリューションなどを提供している。従来はグループ各社で個別にエンドポイントのセキュリティ対策を実施していたが、グループ統一のセキュリティ対策を構築すべく、JEISがグループ向けの新サービスを提供することに
マカフィー、インシデント調査を自動化した「MVISION EDR」、分析の思考ロジックを表示 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 新製品・サービス > マカフィー、インシデント調査を自動化した「MVISION EDR」、分析の思考ロジックを表示 セキュリティ セキュリティ記事一覧へ [新製品・サービス] マカフィー、インシデント調査を自動化した「MVISION EDR」、分析の思考ロジックを表示 2019年11月7日(木)日川 佳三(IT Leaders編集部) リスト マカフィーは2019年11月7日、EDR(エンドポイント検知・対処)ソフトウェア「McAfee MVISION Endpoint Detection and Response」(MVISION EDR)を発表した。特徴は、セキュリティ分析者の思考ロジックを仮説とQAで表示して調査担当者を指南する「ガイド付き調査機能」を備えることである。 MVISION EDRは、EDR(エンド
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
EDR製品の有効性について質問させてください。 EDR製品を導入していれば、いわゆる標的型攻撃にみられるような不審なネットワーク探索をほぼ確実に検知できると考えて良いものなのでしょうか? それともEDR製品ではどうしても検知できないネットワーク探索手法も存在するのでしょうか? | mond
ERDをPlantUML形式で自動生成するツールを作った - くりにっき
もうEDRしか勝たん、という話 - Qiita
同時多発ブルースクリーン障害、国内企業の影響まとめ USJ「1台1台手当てしているので時間がかかる」
アンチウイルスやEDRを逆手に取りWindowsを破壊する“合気道ワイパー”
Incident Response において実施すべき調査(EDR vs FSA)
新車に義務化「EDR」全然活用されてない? 事故の証拠データが“宝の持ち腐れ” 国交相も危惧 | 乗りものニュース
セキュリティ製品/サービスを「Microsoft Defender」ブランドに統一
日本の新車もほぼ搭載!! もう嘘はいっさい通用しない「事故記録装置」驚異の実力 - 自動車情報誌「ベストカー」
Recover AWS resources affected by the CrowdStrike Falcon agent
EDRとは何かをわかりやすく解説、製品比較・選定で押さえるべき5つのポイント
トレンドマイクロ、SaaS型の中小企業向けEDR・XDRセキュリティサービス「Worry-Free XDR」を提供
