テクノロジー セキュリティ 非公開: サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

防止メカニズムが失敗した場合、EDR (エンドポイント検出および対応) ツールによって迅速な対応が可能になり、被害を最小限に抑えることができます。

サイバー攻撃が発生した場合は、一秒一秒が勝負です。攻撃による損失は分を追うごとに増大する可能性があります。そのため、サイバー攻撃の影響を最小限に抑えるには早期発見が鍵となります。 EDR ツールは、危険なサイバーセキュリティ インシデントを迅速に軽減するための貴重な味方です。

コンテンツ 表示

時間通りに対応することの重要性

サイバー犯罪者が企業ネットワーク上で気づかれない時間が長くなるほど、より多くのデータが収集され、重要なビジネス資産に近づくことになります。そのため、企業はサイバー攻撃にさらされる時間を短縮してサイバー攻撃を抑制し、被害が回復不能になる前に攻撃を阻止する必要があります。

2013 年、コンサルティング会社 Gartner Group は、EDR ツールを、ネットワーク上のエンドポイント デバイスを監視し、進行中の攻撃に関する情報への即時アクセスを提供する新しいサイバーセキュリティ テクノロジと定義しました。 Gartner によると、EDR ツールは攻撃情報を可視化するだけでなく、攻撃されたデバイスの隔離、悪意のあるプロセスのブロック、インシデント対応手順の実行などにより、IT セキュリティ担当者が迅速に対応するのに役立ちます。

エンドポイントデバイスとは何ですか?

ネットワーキングでは、エンドポイントはデータ ネットワークのエッジに接続されたデバイスとして定義されます。これには、コンピュータ、電話、顧客サービス キオスクから、プリンタ、販売時点情報管理 (POS) 端末、IoT (モノのインターネット) デバイスに至るまで、あらゆるものが含まれます。エンドポイントはネットワークの中で最も露出されている部分であり、サイバー攻撃者にとって潜在的な侵入ポイントを生み出すため、全体としてネットワーク セキュリティ管理者にとって課題となります。

EDR の基本コンポーネント

EDR ツールは、次の 3 つの必要なコンポーネントで構成されています。

  • データ収集 – エンドポイント デバイス上で実行され、実行中のプロセス、ログイン、オープンな通信チャネルに関する情報を収集するソフトウェア コンポーネント。
  • 検出 – エンドポイントの定期的なアクティビティを分析し、異常を検出し、セキュリティ インシデントを意味する可能性のあるものを報告します。
  • データ分析 – さまざまなエンドポイントからの情報をグループ化し、企業ネットワーク全体のセキュリティ インシデントに関するリアルタイム分析を提供します。

EDR ソリューションの望ましい特性の 1 つは、エンドポイント上の 侵害痕跡 (IoC) をインテリジェントに識別することです。これらのインジケーターを使用すると、進行中のインシデントの情報を以前のイベントで記録されたデータと比較できるため、脅威を迅速に特定でき、攻撃を阻止するのに役に立たない分析に時間を無駄にすることがなくなります。

EDR ソリューションのその他の重要な側面には、フォレンジック分析と、インシデント発生時に IT スタッフに通知するアラートがあり、IT スタッフはインシデントに関するすべての情報に迅速にアクセスできます。セキュリティ担当者が調査に必要なものをすべて入手できるように、インシデントの適切で簡単にアクセスできるコンテキストが不可欠です。 EDR ソリューションが、攻撃の影響を受ける他のエンドポイントを特定し、ネットワークに侵入するために使用されたエンドポイントを特定するための追跡機能を提供することも重要です。

自動応答も EDR ソリューションの望ましい側面です。このような対応は、ネットワーク アクセスのブロック、個々のプロセスのブロック、攻撃を阻止または軽減できるその他のアクションの実行など、事前の取り組みで構成されます。

使用できる最高の EDR ツールをいくつか見てみましょう。

サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

ヘイムダルの警備

Heimdal は、 あらゆるビジネス シナリオに合わせてカスタマイズでき、潜在的なセキュリティ ギャップをすべてカバーできるテクノロジーのスタックを通じて、EDR への多層アプローチを提案しています。 EDR ソリューションは、脅威ハンティング、継続的な監視、ローカルおよびクラウドのスキャン、次世代トラフィック テレメトリによる脅威のブロックを提供します。

Heimdal のソリューションは EPP と EDR を統合し、E-PDR (エンドポイントの防止、検出、および対応) と呼ばれるセキュリティ モデルを取得します。 E-PDR は、DNS ベースの攻撃保護とパッチ適用を、あらゆる種類の高度なサイバー脅威を撃退する即時対応戦略と組み合わせて使用​​します。

Heimdal は、データ分析に対する包括的なアプローチを使用し、エンドポイントから収集したデータを脅威インテリジェンス ソースと比較して、すべてのエンドポイントのアクティビティを追跡し、セキュリティ インシデントに対応します。デスクトップ権限を管理するオプションを追加することで、Gartner のセキュリティ プロジェクトのすべての推奨事項が 1 つのソリューションでカバーされます (#1、 特権アクセス管理、 #2、 脆弱性管理 、#3 検出と対応 )。

ハイライト

  • Darklayer GUARD は DNS トラフィック フィルタリングを処理し、脅威の防止、検出、ブロックを提供します。
  • VectorN Detection は、機械学習による行動検出を適用して、スマートな脅威ハンティングを実行します。
  • X-Ploit Resilience は、自動ソフトウェア インベントリ、脆弱性管理、自動ソフトウェア パッチ適用を行います。
  • Thor AdminPrivilege は Heimdal のアクセス管理モジュールであり、エンドポイントのセキュリティと管理者権限の管理を強化します。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

カスペルスキー

カスペルスキーの EDR ソリューションは、 主に広範囲の多段階攻撃を軽減することを目的としています。 Kaspersky Anti Targeted Attack (KATA) と同じプラットフォームに実装されている KEDR を KATA と組み合わせることで、ネットワーク エンドポイント インフラストラクチャに対する攻撃を効果的に検出して対応できます。

広域攻撃は複雑であるため、個々のサーバーまたはワークステーション レベルで攻撃を特定することは不可能です。このため、KEDR は、機械学習、ビッグデータ、人間の専門知識を組み合わせて、データ収集プロセスを自動化し、エンドポイント インフラストラクチャとともに不審なアクティビティを自動的に分析します。並行して、システム ウォッチャー テクノロジは、悪意のある動作パターンを特定するために、サーバーまたは端末上で起動された各アプリケーションの動作を監視します。

KEDR は、受信した検出や侵害指標 (IoC) のエンドポイント スキャンの結果を含む、すべてのイベントを詳細に表示および監視するために単一のコンソールを採用します。カスペルスキーはエンタープライズ部門に多数の顧客を抱えており、そのセキュリティ ネットワークは大企業が耐えなければならない種類の脅威で強化され続けています。

ハイライト

  • 自動ロールバックによる動作検出。
  • モバイルの脅威防御とEMMの統合。
  • ホストベースの侵入防御 (HIPS)。
  • 脆弱性評価とパッチ管理。
  • カテゴリベースのホワイトリストによるアプリケーション制御。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

ビットディフェンダー

Bitdefender GravityZone は、 ネットワークのエンドポイントの攻撃対象領域を最小限に抑え、攻撃者による侵入を困難にすることを目的としています。エンドポイントでのオーバーヘッドを最小限に抑えるために、このソリューションは単一のエージェントと単一のコンソール アーキテクチャでエンドポイントとユーザーの行動リスク分析を提供します。

エンドポイント セキュリティへのこの統合アプローチにより、ベンダーの数、全体的な所有コストが削減され、脅威への対応に必要な時間が削減されます。

Bitdefender のリスク分析エンジンは、わかりやすい優先順位付きリストを通じて、組織にセキュリティ リスクを生み出すユーザーの行動を特定するだけでなく、エンドポイント セキュリティの構成ミスや設定を強化するのに役立ちます。 Bitdefender は、既知の脆弱性を利用した攻撃の試みを防止するために設計された、ネットワーク攻撃防御と呼ばれる新しいエンドポイント セキュリティ層を追加します。

ラテラルムーブメント、ブルートフォース、パスワードスティーラーなどのネットワークストリームベースの攻撃は、実行される前にブロックされます。

ハイライト

  • フルディスク暗号化アドオンモジュールによるデータ保護。
  • 調整可能な機械学習、リアルタイムのプロセス検査、サンドボックス分析により、マルウェアの実行前検出と根絶を実現します。
  • 侵害前および侵害後の攻撃の可視性。
  • IOC、MITRE タグ、プロセス、ファイル、レジストリ エントリ、またはその他のパラメータに基づいて、現在および過去のデータを検索します。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

鼻を鳴らす

Snort は 、Cisco Systems によって作成されたオープンソースのネットワーク侵入検知システム (NIDS) です。

これは、ネットワーク上を循環するデータを検査するパケット スニファーとして機能します。 Snort には独自のデータ形式があり、他の多くの侵入検知システム開発者が脅威情報を交換するために使用しています。 Snort はネットワーク パケットをキャプチャして分析し、分析結果をログ ファイルに保存するか、コンソールに表示します。

Snort は、一連のルールをネットワーク パッケージに適用し、悪意のあるコンテンツを特定した場合にユーザーに警告するためだけに使用することもできます。個人の保護のために個人のデスクトップ システムで使用できますが、効果的に使用するには適切に構成するには多大な労力がかかる場合があります。

また、すべての設定を行うための標準 GUI がないため、初心者向けの製品とは言えません。 Snort Web サイトには多くのドキュメントとサンプル構成ファイルがあり、セキュリティ管理者の作業が簡素化されます。

ハイライト

  • 最も広く導入されている侵入防御システム: 500 万以上のダウンロード、60 万人以上の登録ユーザー。
  • x86 オペレーティング システム (Linux、FreeBSD、NetBSD、OpenBSD、Windows) および Sparc Solaris、PowerPC MacOS X、MkLinux、PA-RISC HP-UX と互換性があります。
  • 「スノーティング」用の 2 番目のイーサネット インターフェイスと、ログ データを保存するための大きなハードディスクが必要です。
  • これを使用して、さまざまな種類の SQL インジェクション攻撃を検出できます。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

センチネルワン

SentinelOne の Singularity は、EDR 機能を含む包括的なエンドポイント保護プラットフォーム (EPP) です。他の機能とは一線を画すいくつかの機能を提供します。中でも注目に値するのは、ランサムウェア攻撃による被害を元に戻す復元プロセスであるランサムウェア ロールバック機能です。

SentinelOne エージェントは、Windows または Linux マシン、POS デバイス、IoT など、あらゆる種類のエンドポイントに簡単にインストールできます。インストールプロセスはシンプルかつ迅速です。ユーザーの報告によると、企業ネットワークに含まれる数百または数千のエンドポイント上でエージェントを立ち上げて実行するのに、わずか 2 日しかかからないとのことです。

SentinelOne のユーザー インターフェイスは、便利な検索およびフォレンジック分析ツールとともに、各エンドポイントのプロセスを可視化します。製品の進化は継続しており、驚くべき速度で新機能が追加されています。

ハイライト

  • シングルエージェントテクノロジー: 実行前の保護に静的 AI エンジンを使用します。
  • AI は、従来のシグネチャベースの検出を置き換えます。
  • ファイルベース/ファイルレスのマルウェア、ドキュメント、スクリプトなど、あらゆるベクトルをカバーするプロセス実行のための行動 AI。
  • 自動化された EDR アクション: ネットワークの分離、エンドポイントの自動免疫化、感染前の状態へのエンドポイントのロールバック。

ソフォス

Sophos Intercept X は 、ネットワーク上のエンドポイントを脅威から保護する、高速、軽量、省スペースのソリューションです。その主な特長は、クライアント デバイス上のリソースをほとんど消費しない効果的な保護メカニズムを提供することです。

インターセプト X は非常に献身的な警備員として機能し、防御の観点から見ても優れています。しかし、ユーザーは、必要以上に多くのイベントをブロックする可能性があり、脅威を特定する際に多くの誤検知を引き起こす可能性があると報告しています。

このツールは集中管理クラウド プラットフォームを提供し、サーバーとエンドポイントの保護を制御する単一の場所を提供します。このプラットフォームは、システム管理者の作業を簡素化し、検出された脅威のステータスの確認、ブロックされた URL へのアクセスの分析などを容易にします。さらに、ウイルス対策としての有用性を補完するファイアウォール機能も提供します。

ハイライト

  • セキュリティ アナリストと IT マネージャー向けに設計されています。
  • Windows、macOS、Linux で利用できます。
  • カスタマイズ可能な SQL クエリにより、最大 90 日間の履歴データとライブ データにアクセスできます。
  • 機械学習ベースのインシデントの優先順位付け。

クラウドストライク

IT セキュリティ専門家のチームを雇う余裕がない中小企業にとって、 CrowdStrike の Falcon Complete ソリューションは、低い取得、導入、保守コストを提供します。

低コストにもかかわらず、その有効性は他のソリューションに劣りません。 Falcon Complete ユーザーは、そのスピードと積極性を強調しており、システム管理者に脅威が通知された時点で、その脅威はすでに EDR ツールによってブロックされ、削除されていることが保証されます。

EDR Falcon ソリューションを補完するものとして、CrowdStrike は、スピードと精度に優れた管理された脅威の検出、ハンティング、削除サービスを提供します。このサービスは、CrowdStrike アナリストが撃退方法を知っている脅威に対処するのに時間を浪費するのではなく、顧客企業のシステム スタッフを自社のビジネスに密接に関係するタスクに解放するのに最適です。

ハイライト

  • IOA (攻撃指標) を使用して、攻撃者の行動を自動的に識別し、優先順位の高いアラートを UI に送信します。
  • インシデントの優先順位付けにより、アラート疲労 (頻繁なアラームにさらされ続けること) が 90% 以上軽減されます。
  • MITRE ベースの検出フレームワークと CrowdScore インシデント ワークベンチ。
  • Falcon Insight のカーネル モード ドライバーは、インシデントを追跡するために必要な 400 を超える生のイベントと関連情報をキャプチャします。

カーボンブラック

多くのセキュリティ ツールは、シグネチャ ベースの脅威検出メカニズムを使用しています。このメカニズムは、考えられる各脅威のシグネチャを取得してデータベース内で検索し、それを識別して無力化する方法を決定します。このメカニズムの主な問題は、新しい脅威が発生したときに、そのシグネチャを取得し、従来の検出ツールがそれを識別する方法を学習するまでに時間がかかることです。

シグネチャベースの検出の問題を回避するために、 Carbon Black などのソリューションはヒューリスティックな手法を使用して潜在的な脅威を検出します。 Carbon Black の特別なケースでは、ユーザーは、このツールがシグネチャが利用可能になるずっと前に多数の高度な脅威を検出してブロックできると主張しています。 Carbon Black のフォレンジック分析ツールも、分析の深さとレポートの詳細レベルにより、ユーザーから高く評価されています。

VMware ツールは高度なセキュリティ チームに最適で、エンドポイントへの攻撃を阻止するための詳細なルールを定義できるほか、手動の脅威ハンティングを実行するツールも提供します。

ハイライト

  • オンプレミス、仮想プライベート クラウド、SaaS、または MSSP。
  • 統合とオープン API による自動化。
  • リモート修復: Live Response を使用すると、インシデント対応者は感染したホストへの安全な接続を作成し、ファイルのプルまたはプッシュ、プロセスの強制終了、メモリ ダンプの実行を行うことができます。
  • 継続的に記録されるエンドポイント データは、セキュリティ専門家にリアルタイムで脅威を探索するために必要な情報を提供します。

サイネット360

Cynet の EDR 製品は、脅威を捕らえて無力化するための欺瞞デコイを使用することが特徴です。おとりとなるのは、ファイル、ユーザー アカウント、デバイス アカウントなどで、ネットワーク上の最も機密性の高い領域にインストールされ、潜在的な攻撃者を引き寄せてネットワークへの侵入を防ぎます。

Cynet 360 ユーザーは、エンドポイントへのエージェントのインストールの容易さと、詳細でわかりやすい結果を提供する、よく表示されたコンソールを強調しています。このソフトウェア ツールは、マルウェア エンジニアと倫理的ハッカーで構成される SOC (セキュリティ オペレーション センター) によってサポートされており、クライアントでインシデントが発生すると、直ちに活動を開始します。

Cynet プラットフォームのマルチテナント アーキテクチャは、多数の顧客のサポートを簡素化するため、再販業者に適しています。一方、Android、iOS、スマート TV デバイス上で会社全体のセキュリティ体制を表示するカスタム アプリを使用すると、再販業者が顧客に Cynet 360 を提供しやすくなります。

ハイライト

  • 高速導入: 1 日に最大 50,000 のホスト/サーバー。
  • 新しいマシン上での自動検出と自己展開。
  • ホスト、サーバー、仮想環境の保護。
  • Windows、macOS、および 5 種類の Linux との互換性。

細胞質

Panda Security の Cytomic ビジネス ユニットは、大陸ごとに異なる運用チームが存在し、異なる大陸にまたがるネットワーク上のエンドポイントを保護する必要がある大企業向けに特別に設計されたセキュリティ プラットフォームを提供しています。このソリューションにより、企業の IT スタッフはセキュリティ体制を一元的に把握できるようになり、管理と日常業務はそれぞれ独自の管理コンソールを持つ各国のローカル チームに委任されます。

Windows ワークステーションおよびサーバー上でのセキュリティ エージェントのロールアウトは問題なく実行されますが、Linux の互換性はすべてのディストリビューションで保証されているわけではありません。 Panda Security が直接提供する脅威ハンティング サービスは、このツールを補完する貴重なサービスです。パンダ セキュリティはいつでも対応可能で、気配りがあり、あらゆるインシデントに対応できるサポート チームを提供します。このソリューションのコストは、法人顧客に適した一連の製品の中で最も低価格です。

ハイライト

  • Threat Hunting Service は製品に含まれています。
  • エクスプロイトベースの攻撃はブロックされます。
    遡及的かつリアルタイムの IoC 検索。
  • 高度なアラートは優先順位付けされ、MITRE ATT&CK フレームワークにマッピングされます。

ビジョン

MVISION により、McAfee は、セキュリティ アナリストが日常的な管理タスクに時間を費やすのではなく、ネットワークの戦略的な防御に集中できるようにする、メンテナンスの手間がかからないクラウド ソリューションを提供します。 MVISION は、人工知能に基づく脅威調査テクノロジーを使用して、最も緊急に対処する必要があるインシデントを優先して、検出と応答時間を短縮します。

McAfee ツールは、複数のソースからエンドポイント インフラストラクチャを収集、要約し、視覚化できるようにすることで、SOC エージェントのアシスタントとなることを目的としています。これにより、SOCに必要なリソースの数を削減することができる。さらに、インストールを簡素化し、メンテナンス コストを削減するために、MVISION をオンプレミスまたは SaaS ベースの McAfee ePolicy Orchestrator (ePO) 管理プラットフォームと統合できます。

MVISION ユーザーは、McAfee EDR ソリューションの導入後に、ハードウェア、ソフトウェア、データ センターのエネルギー消費量、メンテナンス タスクにかかる時間などの大幅なコスト削減が達成されたことを強調しています。

ハイライト

  • iOS および Android をオンライン/オフラインでフィッシング、ゼロデイ攻撃、データ損失から保護します。
  • 機械学習、認証情報の盗難に対する防御、および基本的なオペレーティング システムのセキュリティ機能へのロールバック修復。
  • 一元的な管理。
  • McAfee ePO によるオンプレミス管理、または MVISION ePO による SaaS ベースの管理。

サイバーリーズン

Cyber​​eason EDR は、シグネチャベースのアプローチと行動ベースのアプローチの両方を使用して、脅威を特定し、環境内のリスクを軽減します。

ファイルレス攻撃を含むあらゆる種類のランサムウェアを自動的に検出してブロックできます。各攻撃に関連するすべての情報は、Malicious Operation の略称である Malop と呼ばれる 1 つの直感的なビューに統合されます。マロップには、影響を受けるすべてのマシンとユーザー、根本原因、送受信通信、さらには攻撃のタイムラインなど、関連するすべての攻撃要素が含まれています。

Cyber​​eason EDR を使用すると、アラートを MITRE ATT&CK フレームワークにマッピングできるため、アナリストは複雑な検出を一目で理解できます。このようにして、SOC はアラートのトリアージにかかる時間を短縮し、優先順位付けと修復を加速します。 Cyber​​eason の専門家チームはお客様の環境を 24 時間 365 日監視し、脅威に積極的に対応し、お客様自身のセキュリティ チームの能力を拡大します。

単一の監視プラットフォームにより、すべてのマシンおよびすべてのプロセスにわたるすべての悪意のあるアクティビティを把握できます。セキュリティ エージェントは、イベントの詳細なタイムラインを含むプロセス ツリー全体を表示でき、ワンクリックでプロセスの強制終了、ファイルの隔離、永続化メカニズムの削除、ファイルの実行の防止、マシンの隔離を行うことができます。

ハイライト

  • インタラクティブなファイル検索とネイティブ YARA ルールのサポートにより、Windows、macOS、Linux マシン全体で悪意のあるファイルを発見できます。
  • Cyber​​eason Deep Response を使用すると、チームはメモリ ダンプ、レジストリ ファイル、イベント ログ、MFT、および NTFS トランザクション情報を取得できます。
  • クラウドまたはオンプレミスのオプションにより、導入時間は最短 24 時間です。
  • Cyber​​eason Threat Finder コンポーネントは、現実世界のキャンペーンで攻撃者が使用する悪意のあるアクティビティ、戦術、手順を追跡します。

ESET

ESET Enterprise Inspectorは ESET Endpoint Protection Platformと連携して、ランサムウェアからの保護、高度な持続的脅威の検出、ファイルレス攻撃の阻止、ゼロデイ脅威のブロックを行う完全な防御ソリューションを提供します。動作と評判に基づいた独自の検出エンジンを採用しており、SOC に対して完全に透過的です。

すべてのルールは XML ファイルを通じて編集でき、微調整が可能です。

ESET ソリューションを使用すると、開発者は、検出/修復データへのアクセスを提供する API を通じてソリューションを統合できます。これにより、チケット発行システム、SIEM (セキュリティ情報およびイベント マネージャー)、SOAR (セキュリティ オーケストレーションの自動化および応答) などのツールを統合できます。

Enterprise Inspector のもう 1 つの優れた機能は、セキュリティ エンジニアがエンドポイントをリモートで検査および構成できるリモート PowerShell 機能です。

結論

コスト、検出パフォーマンス、または付加価値機能の違いは別として、この記事で説明されているすべてのツールは、ネットワークのエンドポイント インフラストラクチャを保護するというタスクを実行します。各企業のニーズに最適なツールを選択することは重要ですが、より重要なのは、ネットワーク エンドポイントがさらされている脅威を認識して遅滞なく行動し、有効性が実証された EDR ツールで保護することです。

「サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール」についてわかりやすく解説!絶対に観るべきベスト2動画

EDRの有効活用が実現するサイバー攻撃への対抗策
https://www.youtube-nocookie.com/watch?v=cAQCnyfeuT8&pp=ygVa44K144Kk44OQ44O85pS75pKD44KS6L-F6YCf44Gr5qSc5Ye644GX44Gm5a–5b-c44GZ44KL44Gf44KB44GuIDEzIOOBriBFRFIg44OE44O844OrJmhsPUpB

防止メカニズムが失敗した場合、EDR (エンドポイント検出および対応) ツールによって迅速な対応が可能になり、被害を最小限に抑えることができます。

サイバー攻撃が発生した場合は、一秒一秒が勝負です。攻撃による損失は分を追うごとに増大する可能性があります。そのため、サイバー攻撃の影響を最小限に抑えるには早期発見が鍵となります。 EDR ツールは、危険なサイバーセキュリティ インシデントを迅速に軽減するための貴重な味方です。

コンテンツ 表示

時間通りに対応することの重要性

サイバー犯罪者が企業ネットワーク上で気づかれない時間が長くなるほど、より多くのデータが収集され、重要なビジネス資産に近づくことになります。そのため、企業はサイバー攻撃にさらされる時間を短縮してサイバー攻撃を抑制し、被害が回復不能になる前に攻撃を阻止する必要があります。

2013 年、コンサルティング会社 Gartner Group は、EDR ツールを、ネットワーク上のエンドポイント デバイスを監視し、進行中の攻撃に関する情報への即時アクセスを提供する新しいサイバーセキュリティ テクノロジと定義しました。 Gartner によると、EDR ツールは攻撃情報を可視化するだけでなく、攻撃されたデバイスの隔離、悪意のあるプロセスのブロック、インシデント対応手順の実行などにより、IT セキュリティ担当者が迅速に対応するのに役立ちます。

エンドポイントデバイスとは何ですか?

ネットワーキングでは、エンドポイントはデータ ネットワークのエッジに接続されたデバイスとして定義されます。これには、コンピュータ、電話、顧客サービス キオスクから、プリンタ、販売時点情報管理 (POS) 端末、IoT (モノのインターネット) デバイスに至るまで、あらゆるものが含まれます。エンドポイントはネットワークの中で最も露出されている部分であり、サイバー攻撃者にとって潜在的な侵入ポイントを生み出すため、全体としてネットワーク セキュリティ管理者にとって課題となります。

EDR の基本コンポーネント

EDR ツールは、次の 3 つの必要なコンポーネントで構成されています。

  • データ収集 – エンドポイント デバイス上で実行され、実行中のプロセス、ログイン、オープンな通信チャネルに関する情報を収集するソフトウェア コンポーネント。
  • 検出 – エンドポイントの定期的なアクティビティを分析し、異常を検出し、セキュリティ インシデントを意味する可能性のあるものを報告します。
  • データ分析 – さまざまなエンドポイントからの情報をグループ化し、企業ネットワーク全体のセキュリティ インシデントに関するリアルタイム分析を提供します。

EDR ソリューションの望ましい特性の 1 つは、エンドポイント上の 侵害痕跡 (IoC) をインテリジェントに識別することです。これらのインジケーターを使用すると、進行中のインシデントの情報を以前のイベントで記録されたデータと比較できるため、脅威を迅速に特定でき、攻撃を阻止するのに役に立たない分析に時間を無駄にすることがなくなります。

EDR ソリューションのその他の重要な側面には、フォレンジック分析と、インシデント発生時に IT スタッフに通知するアラートがあり、IT スタッフはインシデントに関するすべての情報に迅速にアクセスできます。セキュリティ担当者が調査に必要なものをすべて入手できるように、インシデントの適切で簡単にアクセスできるコンテキストが不可欠です。 EDR ソリューションが、攻撃の影響を受ける他のエンドポイントを特定し、ネットワークに侵入するために使用されたエンドポイントを特定するための追跡機能を提供することも重要です。

自動応答も EDR ソリューションの望ましい側面です。このような対応は、ネットワーク アクセスのブロック、個々のプロセスのブロック、攻撃を阻止または軽減できるその他のアクションの実行など、事前の取り組みで構成されます。

使用できる最高の EDR ツールをいくつか見てみましょう。

サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

ヘイムダルの警備

Heimdal は、 あらゆるビジネス シナリオに合わせてカスタマイズでき、潜在的なセキュリティ ギャップをすべてカバーできるテクノロジーのスタックを通じて、EDR への多層アプローチを提案しています。 EDR ソリューションは、脅威ハンティング、継続的な監視、ローカルおよびクラウドのスキャン、次世代トラフィック テレメトリによる脅威のブロックを提供します。

Heimdal のソリューションは EPP と EDR を統合し、E-PDR (エンドポイントの防止、検出、および対応) と呼ばれるセキュリティ モデルを取得します。 E-PDR は、DNS ベースの攻撃保護とパッチ適用を、あらゆる種類の高度なサイバー脅威を撃退する即時対応戦略と組み合わせて使用​​します。

Heimdal は、データ分析に対する包括的なアプローチを使用し、エンドポイントから収集したデータを脅威インテリジェンス ソースと比較して、すべてのエンドポイントのアクティビティを追跡し、セキュリティ インシデントに対応します。デスクトップ権限を管理するオプションを追加することで、Gartner のセキュリティ プロジェクトのすべての推奨事項が 1 つのソリューションでカバーされます (#1、 特権アクセス管理、 #2、 脆弱性管理 、#3 検出と対応 )。

ハイライト

  • Darklayer GUARD は DNS トラフィック フィルタリングを処理し、脅威の防止、検出、ブロックを提供します。
  • VectorN Detection は、機械学習による行動検出を適用して、スマートな脅威ハンティングを実行します。
  • X-Ploit Resilience は、自動ソフトウェア インベントリ、脆弱性管理、自動ソフトウェア パッチ適用を行います。
  • Thor AdminPrivilege は Heimdal のアクセス管理モジュールであり、エンドポイントのセキュリティと管理者権限の管理を強化します。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

カスペルスキー

カスペルスキーの EDR ソリューションは、 主に広範囲の多段階攻撃を軽減することを目的としています。 Kaspersky Anti Targeted Attack (KATA) と同じプラットフォームに実装されている KEDR を KATA と組み合わせることで、ネットワーク エンドポイント インフラストラクチャに対する攻撃を効果的に検出して対応できます。

広域攻撃は複雑であるため、個々のサーバーまたはワークステーション レベルで攻撃を特定することは不可能です。このため、KEDR は、機械学習、ビッグデータ、人間の専門知識を組み合わせて、データ収集プロセスを自動化し、エンドポイント インフラストラクチャとともに不審なアクティビティを自動的に分析します。並行して、システム ウォッチャー テクノロジは、悪意のある動作パターンを特定するために、サーバーまたは端末上で起動された各アプリケーションの動作を監視します。

KEDR は、受信した検出や侵害指標 (IoC) のエンドポイント スキャンの結果を含む、すべてのイベントを詳細に表示および監視するために単一のコンソールを採用します。カスペルスキーはエンタープライズ部門に多数の顧客を抱えており、そのセキュリティ ネットワークは大企業が耐えなければならない種類の脅威で強化され続けています。

ハイライト

  • 自動ロールバックによる動作検出。
  • モバイルの脅威防御とEMMの統合。
  • ホストベースの侵入防御 (HIPS)。
  • 脆弱性評価とパッチ管理。
  • カテゴリベースのホワイトリストによるアプリケーション制御。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

ビットディフェンダー

Bitdefender GravityZone は、 ネットワークのエンドポイントの攻撃対象領域を最小限に抑え、攻撃者による侵入を困難にすることを目的としています。エンドポイントでのオーバーヘッドを最小限に抑えるために、このソリューションは単一のエージェントと単一のコンソール アーキテクチャでエンドポイントとユーザーの行動リスク分析を提供します。

エンドポイント セキュリティへのこの統合アプローチにより、ベンダーの数、全体的な所有コストが削減され、脅威への対応に必要な時間が削減されます。

Bitdefender のリスク分析エンジンは、わかりやすい優先順位付きリストを通じて、組織にセキュリティ リスクを生み出すユーザーの行動を特定するだけでなく、エンドポイント セキュリティの構成ミスや設定を強化するのに役立ちます。 Bitdefender は、既知の脆弱性を利用した攻撃の試みを防止するために設計された、ネットワーク攻撃防御と呼ばれる新しいエンドポイント セキュリティ層を追加します。

ラテラルムーブメント、ブルートフォース、パスワードスティーラーなどのネットワークストリームベースの攻撃は、実行される前にブロックされます。

ハイライト

  • フルディスク暗号化アドオンモジュールによるデータ保護。
  • 調整可能な機械学習、リアルタイムのプロセス検査、サンドボックス分析により、マルウェアの実行前検出と根絶を実現します。
  • 侵害前および侵害後の攻撃の可視性。
  • IOC、MITRE タグ、プロセス、ファイル、レジストリ エントリ、またはその他のパラメータに基づいて、現在および過去のデータを検索します。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

鼻を鳴らす

Snort は 、Cisco Systems によって作成されたオープンソースのネットワーク侵入検知システム (NIDS) です。

これは、ネットワーク上を循環するデータを検査するパケット スニファーとして機能します。 Snort には独自のデータ形式があり、他の多くの侵入検知システム開発者が脅威情報を交換するために使用しています。 Snort はネットワーク パケットをキャプチャして分析し、分析結果をログ ファイルに保存するか、コンソールに表示します。

Snort は、一連のルールをネットワーク パッケージに適用し、悪意のあるコンテンツを特定した場合にユーザーに警告するためだけに使用することもできます。個人の保護のために個人のデスクトップ システムで使用できますが、効果的に使用するには適切に構成するには多大な労力がかかる場合があります。

また、すべての設定を行うための標準 GUI がないため、初心者向けの製品とは言えません。 Snort Web サイトには多くのドキュメントとサンプル構成ファイルがあり、セキュリティ管理者の作業が簡素化されます。

ハイライト

  • 最も広く導入されている侵入防御システム: 500 万以上のダウンロード、60 万人以上の登録ユーザー。
  • x86 オペレーティング システム (Linux、FreeBSD、NetBSD、OpenBSD、Windows) および Sparc Solaris、PowerPC MacOS X、MkLinux、PA-RISC HP-UX と互換性があります。
  • 「スノーティング」用の 2 番目のイーサネット インターフェイスと、ログ データを保存するための大きなハードディスクが必要です。
  • これを使用して、さまざまな種類の SQL インジェクション攻撃を検出できます。
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール
サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール

センチネルワン

SentinelOne の Singularity は、EDR 機能を含む包括的なエンドポイント保護プラットフォーム (EPP) です。他の機能とは一線を画すいくつかの機能を提供します。中でも注目に値するのは、ランサムウェア攻撃による被害を元に戻す復元プロセスであるランサムウェア ロールバック機能です。

SentinelOne エージェントは、Windows または Linux マシン、POS デバイス、IoT など、あらゆる種類のエンドポイントに簡単にインストールできます。インストールプロセスはシンプルかつ迅速です。ユーザーの報告によると、企業ネットワークに含まれる数百または数千のエンドポイント上でエージェントを立ち上げて実行するのに、わずか 2 日しかかからないとのことです。

SentinelOne のユーザー インターフェイスは、便利な検索およびフォレンジック分析ツールとともに、各エンドポイントのプロセスを可視化します。製品の進化は継続しており、驚くべき速度で新機能が追加されています。

ハイライト

  • シングルエージェントテクノロジー: 実行前の保護に静的 AI エンジンを使用します。
  • AI は、従来のシグネチャベースの検出を置き換えます。
  • ファイルベース/ファイルレスのマルウェア、ドキュメント、スクリプトなど、あらゆるベクトルをカバーするプロセス実行のための行動 AI。
  • 自動化された EDR アクション: ネットワークの分離、エンドポイントの自動免疫化、感染前の状態へのエンドポイントのロールバック。

ソフォス

Sophos Intercept X は 、ネットワーク上のエンドポイントを脅威から保護する、高速、軽量、省スペースのソリューションです。その主な特長は、クライアント デバイス上のリソースをほとんど消費しない効果的な保護メカニズムを提供することです。

インターセプト X は非常に献身的な警備員として機能し、防御の観点から見ても優れています。しかし、ユーザーは、必要以上に多くのイベントをブロックする可能性があり、脅威を特定する際に多くの誤検知を引き起こす可能性があると報告しています。

このツールは集中管理クラウド プラットフォームを提供し、サーバーとエンドポイントの保護を制御する単一の場所を提供します。このプラットフォームは、システム管理者の作業を簡素化し、検出された脅威のステータスの確認、ブロックされた URL へのアクセスの分析などを容易にします。さらに、ウイルス対策としての有用性を補完するファイアウォール機能も提供します。

ハイライト

  • セキュリティ アナリストと IT マネージャー向けに設計されています。
  • Windows、macOS、Linux で利用できます。
  • カスタマイズ可能な SQL クエリにより、最大 90 日間の履歴データとライブ データにアクセスできます。
  • 機械学習ベースのインシデントの優先順位付け。

クラウドストライク

IT セキュリティ専門家のチームを雇う余裕がない中小企業にとって、 CrowdStrike の Falcon Complete ソリューションは、低い取得、導入、保守コストを提供します。

低コストにもかかわらず、その有効性は他のソリューションに劣りません。 Falcon Complete ユーザーは、そのスピードと積極性を強調しており、システム管理者に脅威が通知された時点で、その脅威はすでに EDR ツールによってブロックされ、削除されていることが保証されます。

EDR Falcon ソリューションを補完するものとして、CrowdStrike は、スピードと精度に優れた管理された脅威の検出、ハンティング、削除サービスを提供します。このサービスは、CrowdStrike アナリストが撃退方法を知っている脅威に対処するのに時間を浪費するのではなく、顧客企業のシステム スタッフを自社のビジネスに密接に関係するタスクに解放するのに最適です。

ハイライト

  • IOA (攻撃指標) を使用して、攻撃者の行動を自動的に識別し、優先順位の高いアラートを UI に送信します。
  • インシデントの優先順位付けにより、アラート疲労 (頻繁なアラームにさらされ続けること) が 90% 以上軽減されます。
  • MITRE ベースの検出フレームワークと CrowdScore インシデント ワークベンチ。
  • Falcon Insight のカーネル モード ドライバーは、インシデントを追跡するために必要な 400 を超える生のイベントと関連情報をキャプチャします。

カーボンブラック

多くのセキュリティ ツールは、シグネチャ ベースの脅威検出メカニズムを使用しています。このメカニズムは、考えられる各脅威のシグネチャを取得してデータベース内で検索し、それを識別して無力化する方法を決定します。このメカニズムの主な問題は、新しい脅威が発生したときに、そのシグネチャを取得し、従来の検出ツールがそれを識別する方法を学習するまでに時間がかかることです。

シグネチャベースの検出の問題を回避するために、 Carbon Black などのソリューションはヒューリスティックな手法を使用して潜在的な脅威を検出します。 Carbon Black の特別なケースでは、ユーザーは、このツールがシグネチャが利用可能になるずっと前に多数の高度な脅威を検出してブロックできると主張しています。 Carbon Black のフォレンジック分析ツールも、分析の深さとレポートの詳細レベルにより、ユーザーから高く評価されています。

VMware ツールは高度なセキュリティ チームに最適で、エンドポイントへの攻撃を阻止するための詳細なルールを定義できるほか、手動の脅威ハンティングを実行するツールも提供します。

ハイライト

  • オンプレミス、仮想プライベート クラウド、SaaS、または MSSP。
  • 統合とオープン API による自動化。
  • リモート修復: Live Response を使用すると、インシデント対応者は感染したホストへの安全な接続を作成し、ファイルのプルまたはプッシュ、プロセスの強制終了、メモリ ダンプの実行を行うことができます。
  • 継続的に記録されるエンドポイント データは、セキュリティ専門家にリアルタイムで脅威を探索するために必要な情報を提供します。

サイネット360

Cynet の EDR 製品は、脅威を捕らえて無力化するための欺瞞デコイを使用することが特徴です。おとりとなるのは、ファイル、ユーザー アカウント、デバイス アカウントなどで、ネットワーク上の最も機密性の高い領域にインストールされ、潜在的な攻撃者を引き寄せてネットワークへの侵入を防ぎます。

Cynet 360 ユーザーは、エンドポイントへのエージェントのインストールの容易さと、詳細でわかりやすい結果を提供する、よく表示されたコンソールを強調しています。このソフトウェア ツールは、マルウェア エンジニアと倫理的ハッカーで構成される SOC (セキュリティ オペレーション センター) によってサポートされており、クライアントでインシデントが発生すると、直ちに活動を開始します。

Cynet プラットフォームのマルチテナント アーキテクチャは、多数の顧客のサポートを簡素化するため、再販業者に適しています。一方、Android、iOS、スマート TV デバイス上で会社全体のセキュリティ体制を表示するカスタム アプリを使用すると、再販業者が顧客に Cynet 360 を提供しやすくなります。

ハイライト

  • 高速導入: 1 日に最大 50,000 のホスト/サーバー。
  • 新しいマシン上での自動検出と自己展開。
  • ホスト、サーバー、仮想環境の保護。
  • Windows、macOS、および 5 種類の Linux との互換性。

細胞質

Panda Security の Cytomic ビジネス ユニットは、大陸ごとに異なる運用チームが存在し、異なる大陸にまたがるネットワーク上のエンドポイントを保護する必要がある大企業向けに特別に設計されたセキュリティ プラットフォームを提供しています。このソリューションにより、企業の IT スタッフはセキュリティ体制を一元的に把握できるようになり、管理と日常業務はそれぞれ独自の管理コンソールを持つ各国のローカル チームに委任されます。

Windows ワークステーションおよびサーバー上でのセキュリティ エージェントのロールアウトは問題なく実行されますが、Linux の互換性はすべてのディストリビューションで保証されているわけではありません。 Panda Security が直接提供する脅威ハンティング サービスは、このツールを補完する貴重なサービスです。パンダ セキュリティはいつでも対応可能で、気配りがあり、あらゆるインシデントに対応できるサポート チームを提供します。このソリューションのコストは、法人顧客に適した一連の製品の中で最も低価格です。

ハイライト

  • Threat Hunting Service は製品に含まれています。
  • エクスプロイトベースの攻撃はブロックされます。
    遡及的かつリアルタイムの IoC 検索。
  • 高度なアラートは優先順位付けされ、MITRE ATT&CK フレームワークにマッピングされます。

ビジョン

MVISION により、McAfee は、セキュリティ アナリストが日常的な管理タスクに時間を費やすのではなく、ネットワークの戦略的な防御に集中できるようにする、メンテナンスの手間がかからないクラウド ソリューションを提供します。 MVISION は、人工知能に基づく脅威調査テクノロジーを使用して、最も緊急に対処する必要があるインシデントを優先して、検出と応答時間を短縮します。

McAfee ツールは、複数のソースからエンドポイント インフラストラクチャを収集、要約し、視覚化できるようにすることで、SOC エージェントのアシスタントとなることを目的としています。これにより、SOCに必要なリソースの数を削減することができる。さらに、インストールを簡素化し、メンテナンス コストを削減するために、MVISION をオンプレミスまたは SaaS ベースの McAfee ePolicy Orchestrator (ePO) 管理プラットフォームと統合できます。

MVISION ユーザーは、McAfee EDR ソリューションの導入後に、ハードウェア、ソフトウェア、データ センターのエネルギー消費量、メンテナンス タスクにかかる時間などの大幅なコスト削減が達成されたことを強調しています。

ハイライト

  • iOS および Android をオンライン/オフラインでフィッシング、ゼロデイ攻撃、データ損失から保護します。
  • 機械学習、認証情報の盗難に対する防御、および基本的なオペレーティング システムのセキュリティ機能へのロールバック修復。
  • 一元的な管理。
  • McAfee ePO によるオンプレミス管理、または MVISION ePO による SaaS ベースの管理。

サイバーリーズン

Cyber​​eason EDR は、シグネチャベースのアプローチと行動ベースのアプローチの両方を使用して、脅威を特定し、環境内のリスクを軽減します。

ファイルレス攻撃を含むあらゆる種類のランサムウェアを自動的に検出してブロックできます。各攻撃に関連するすべての情報は、Malicious Operation の略称である Malop と呼ばれる 1 つの直感的なビューに統合されます。マロップには、影響を受けるすべてのマシンとユーザー、根本原因、送受信通信、さらには攻撃のタイムラインなど、関連するすべての攻撃要素が含まれています。

Cyber​​eason EDR を使用すると、アラートを MITRE ATT&CK フレームワークにマッピングできるため、アナリストは複雑な検出を一目で理解できます。このようにして、SOC はアラートのトリアージにかかる時間を短縮し、優先順位付けと修復を加速します。 Cyber​​eason の専門家チームはお客様の環境を 24 時間 365 日監視し、脅威に積極的に対応し、お客様自身のセキュリティ チームの能力を拡大します。

単一の監視プラットフォームにより、すべてのマシンおよびすべてのプロセスにわたるすべての悪意のあるアクティビティを把握できます。セキュリティ エージェントは、イベントの詳細なタイムラインを含むプロセス ツリー全体を表示でき、ワンクリックでプロセスの強制終了、ファイルの隔離、永続化メカニズムの削除、ファイルの実行の防止、マシンの隔離を行うことができます。

ハイライト

  • インタラクティブなファイル検索とネイティブ YARA ルールのサポートにより、Windows、macOS、Linux マシン全体で悪意のあるファイルを発見できます。
  • Cyber​​eason Deep Response を使用すると、チームはメモリ ダンプ、レジストリ ファイル、イベント ログ、MFT、および NTFS トランザクション情報を取得できます。
  • クラウドまたはオンプレミスのオプションにより、導入時間は最短 24 時間です。
  • Cyber​​eason Threat Finder コンポーネントは、現実世界のキャンペーンで攻撃者が使用する悪意のあるアクティビティ、戦術、手順を追跡します。

ESET

ESET Enterprise Inspectorは ESET Endpoint Protection Platformと連携して、ランサムウェアからの保護、高度な持続的脅威の検出、ファイルレス攻撃の阻止、ゼロデイ脅威のブロックを行う完全な防御ソリューションを提供します。動作と評判に基づいた独自の検出エンジンを採用しており、SOC に対して完全に透過的です。

すべてのルールは XML ファイルを通じて編集でき、微調整が可能です。

ESET ソリューションを使用すると、開発者は、検出/修復データへのアクセスを提供する API を通じてソリューションを統合できます。これにより、チケット発行システム、SIEM (セキュリティ情報およびイベント マネージャー)、SOAR (セキュリティ オーケストレーションの自動化および応答) などのツールを統合できます。

Enterprise Inspector のもう 1 つの優れた機能は、セキュリティ エンジニアがエンドポイントをリモートで検査および構成できるリモート PowerShell 機能です。

結論

コスト、検出パフォーマンス、または付加価値機能の違いは別として、この記事で説明されているすべてのツールは、ネットワークのエンドポイント インフラストラクチャを保護するというタスクを実行します。各企業のニーズに最適なツールを選択することは重要ですが、より重要なのは、ネットワーク エンドポイントがさらされている脅威を認識して遅滞なく行動し、有効性が実証された EDR ツールで保護することです。

「サイバー攻撃を迅速に検出して対応するための 13 の EDR ツール」についてわかりやすく解説!絶対に観るべきベスト2動画

EDRの有効活用が実現するサイバー攻撃への対抗策
https://www.youtube-nocookie.com/watch?v=cAQCnyfeuT8&pp=ygVa44K144Kk44OQ44O85pS75pKD44KS6L-F6YCf44Gr5qSc5Ye644GX44Gm5a–5b-c44GZ44KL44Gf44KB44GuIDEzIOOBriBFRFIg44OE44O844OrJmhsPUpB

最新記事一覧

関連記事一覧