エンドポイント検出および応答(EDR)は、エンドポイントデバイス上の脅威を検出および調査するために使用されるツールのカテゴリを指します。
EDR ツールは、エンドポイント エージェントによって生成されたイベントを監視して疑わしい活動を探し、EDR ツールが作成するアラートによって、セキュリティ運用アナリストが問題を特定、調査、修復するのを支援します。 EDR ツールはまた、疑わしい活動に関する遠隔測定データを収集し、そのデータを、相関するイベントからの他のコンテキスト情報によってリッチ化することもできます。
エンドポイントがサイバー攻撃者にとってより脆弱な標的になっているため、EDR はエンドポイント セキュリティ ツールキットの重要な構成要素になっています。 モノのインターネットやモバイルおよびリモート ワーカーの増加などの傾向により、エンドポイントは、サイバー犯罪者が個人または組織に対して高度な攻撃を仕掛けるための人気のエントリー ポイントとなっています。
EDRの主要機能には以下が含まれます:
- エンドポイント データの集約
- マルウェア分析
- 動作分析 – 一見良さそうに見えるイベントの連鎖から疑わしい動作を明らかにする機能。
- データの相関/強化。
- 関連するアラートをインシデントに相関させる。
- インシデントの信頼性と重大性に基づく優先順位付け。
- アラート管理ワークフローを提供する調査ツール。チケット システムと統合して、インシデントの割り当て、転送、注釈、解決に対応。
- クリックダウン式の攻撃チェーン視覚化ツールにより、調査担当者はピボットすることができます。
- メッセージング、Web、エンドポイント、ネットワークなど、複数のサイバーセキュリティ ツールにわたって活動をクエリすることができます。
- ネットワークの分離、ファイルの隔離、ファイルの削除、再イメージング、プロセスの停止、動作のブロックなどの修復。
- ポリシーまたは定義済みのプレイブックに基づく自動応答/修復ワークフロー。 これは、検出の見落とし、誤検出の増加、および調査時間の長さにつながる可能性があります。 これらの欠点により、多くのセキュリティ チームがすでに直面している、イベントの過多、スキル不足、焦点の絞られたツール、統合の欠如、時間の少なさなどの課題がさらに悪化します。
XDR は、脅威の検出と対応に対する新しいアプローチです。 X」は、ネットワーク、クラウド、エンドポイントセンサーなど、あらゆるデータソースを表します。 XDRシステムは、ヒューリスティック、分析、モデリング、および自動化を使用して、これらのソースをつなぎ合わせて洞察を導き出し、サイロ化したセキュリティツールと比べてセキュリティの可視性と生産性を向上させます。 その結果、セキュリティ業務全体の調査が簡素化され、あらゆる形態の脅威の発見、追跡、調査、および対応にかかる時間が短縮されます。
XDRの詳細については、ここをクリックしてください。