防御と運用
EDR(エンドポイント検知・対応)
定義
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
Endpoint Detection and Response(EDR)は、ノート PC・サーバー・仮想マシンにカーネルモードまたはユーザーモードのエージェントを配備し、プロセスツリー、コマンドライン、ファイル書き込み、レジストリ変更、ネットワーク接続、スクリプト本体といった豊富なテレメトリをクラウドの分析バックエンドにストリーミングします。挙動ベースのルール、機械学習、脅威インテリジェンスとの突合によってアラートが生成され、アナリストは完全なプロセス系譜を辿って調査でき、ホスト隔離、ファイル隔離、リモートシェル、ロールバックなどの対応操作も同じコンソールから実行可能です。EDR は XDR や現代的なインシデント対応ワークフローの基盤となります。代表的な製品に CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne、Carbon Black などがあります。
例
- CrowdStrike Falcon が、MSHTA から派生した不審な子プロセスとそれに続く既知 C2 への通信を検知してアラートを生成する。
- Microsoft Defender for Endpoint が mimikatz による資格情報ダンプを検知し、対象ホストを隔離する。
関連用語
EPP(エンドポイント保護プラットフォーム)
アンチウイルス、アンチマルウェア、ホストファイアウォール、エクスプロイト対策などを統合し、デバイス上での脅威実行前にブロックする予防型エンドポイントセキュリティ製品群。
XDR(拡張検知・対応)
エンドポイント、ネットワーク、ID、メール、クラウドのテレメトリを統合し、複数レイヤを横断する相関検知と一元的なレスポンスを提供するセキュリティプラットフォーム。
NDR(ネットワーク検知・対応)
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Threat Hunting
Threat Hunting — definition coming soon.