エンドポイント隔離
エンドポイント隔離 とは何ですか?
エンドポイント隔離侵害された端末のネットワーク接続をセキュリティ管理面以外すべて遮断し、対応中に攻撃者が横方向に移動できないようにする EDR の対処アクション。
エンドポイント隔離(ネットワークコンテインメント、host quarantine、host isolation とも呼ぶ)は、最新の EDR で提供されるワンクリック対応です。CrowdStrike Real Time Response、Microsoft Defender for Endpoint の「Isolate device」、SentinelOne Network Isolation、Carbon Black Cb Live Response、Cortex XDR などが該当します。カーネル常駐エージェントが管理面以外のすべての通信を破棄・遮断するため、C2 ビーコン、ファイル共有へのランサム暗号化、横方向移動を即座に止め、SOC が調査・フォレンジック収集・修復を行う時間を確保できます。ベストプラクティスは、SOAR(Tines、XSOAR、Splunk SOAR)プレイブックに組み込み、サーバには二重承認を必須とし、解除手順を定期的に演習することです。
● 例
- 01
Cobalt Strike ビーコンを検知した数秒後に CrowdStrike Real Time Response が役員ノート PC を隔離する例。
- 02
ランサムウェア挙動が確定すると SOAR プレイブックから Microsoft Defender for Endpoint の「Isolate device」を自動実行する。
● よくある質問
エンドポイント隔離 とは何ですか?
侵害された端末のネットワーク接続をセキュリティ管理面以外すべて遮断し、対応中に攻撃者が横方向に移動できないようにする EDR の対処アクション。 サイバーセキュリティの 防御と運用 カテゴリに属します。
エンドポイント隔離 とはどういう意味ですか?
侵害された端末のネットワーク接続をセキュリティ管理面以外すべて遮断し、対応中に攻撃者が横方向に移動できないようにする EDR の対処アクション。
エンドポイント隔離 からどのように防御しますか?
エンドポイント隔離 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
エンドポイント隔離 の別名は何ですか?
一般的な別名: ネットワーク封じ込め, ホスト隔離, ホスト検疫。