EDRの機能を解説
ここではEDRの機能について解説しています。EDR(Endpoint Detection and Response)はユーザーのパソコン端末などエンドポイントにおいて不審な挙動を検知し、システムを守りますが、実際に何をするのか機能ごとにまとめました。
EDRの基本機能
エンドポイント監視
EDRは常にネットワークに接続している端末(エンドポイント)を監視しています。端末のネットワークへの接続や操作、レジストリの変更といった各種ログを見ながらマルウェアなどの侵入や不審な挙動がないか確認。正常であれば何もしませんが、異常が検知された場合にすぐに対応できる体制を整えています。
検知・分析
ログ情報によりマルウェアなどの不審な動きや兆候、侵入などを検知します。また脅威を検知するとシステムやデータベースの情報から脅威について解析し、システムへの影響度などを測ります。EDRはマルウェアの検知自体よりも事後の対応に重きを置くため、いかに短時間で次の行動へ移るための準備が整えられるかが大切です。
マルウェアの隔離/防御
マルウェアが検知されるとブロックしたりファイルを削除するなど防御に移ります。マルウェアに感染し異常動作を行う端末がある場合は、ネットワークから隔離したりアプリケーションを非アクティブ化するなどして感染拡大を防ぎます。検知してから隔離までが遅れてしまうと次々と他の端末に拡がるため、EDRの能力が問われる部分です。
攻撃プロセスの可視化
攻撃に関する情報を収集し、どのエンドポイントで感染が発生したかや、他の端末への感染や被害状況などを可視化します。EDRには必ずこうした原因探索や行動を分析するための管理コンソールを持っています。攻撃プロセス全体を管理者が見渡せるようにするもので、これにより原因を特定するまでの作業を迅速・効率化できます。
修復・予防
原因を特定した上で、マルウェア感染などの脅威が確認された端末内にある不審なファイルを削除したり、変更されたレジストリなどを修復します。脅威によりエンドポイントに脆弱性が発見された場合はEDRが収集した情報を元に対策を講じ、必要に応じてアプリケーションを最新状態にアップデートするなど感染予防も行います。
EDR製品を導入する際の
おすすめベンダー3選をチェック
