EDR(エンドポイント検知・対応)
EDR(エンドポイント検知・対応) とは何ですか?
EDR(エンドポイント検知・対応)プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
Endpoint Detection and Response(EDR)は、ノート PC・サーバー・仮想マシンにカーネルモードまたはユーザーモードのエージェントを配備し、プロセスツリー、コマンドライン、ファイル書き込み、レジストリ変更、ネットワーク接続、スクリプト本体といった豊富なテレメトリをクラウドの分析バックエンドにストリーミングします。挙動ベースのルール、機械学習、脅威インテリジェンスとの突合によってアラートが生成され、アナリストは完全なプロセス系譜を辿って調査でき、ホスト隔離、ファイル隔離、リモートシェル、ロールバックなどの対応操作も同じコンソールから実行可能です。EDR は XDR や現代的なインシデント対応ワークフローの基盤となります。代表的な製品に CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne、Carbon Black などがあります。
● 例
- 01
CrowdStrike Falcon が、MSHTA から派生した不審な子プロセスとそれに続く既知 C2 への通信を検知してアラートを生成する。
- 02
Microsoft Defender for Endpoint が mimikatz による資格情報ダンプを検知し、対象ホストを隔離する。
● よくある質問
EDR(エンドポイント検知・対応) とは何ですか?
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。 サイバーセキュリティの 防御と運用 カテゴリに属します。
EDR(エンドポイント検知・対応) とはどういう意味ですか?
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
EDR(エンドポイント検知・対応) からどのように防御しますか?
EDR(エンドポイント検知・対応) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。