EDR
定義
EDR(Endpoint Detection and Response)はエンドポイント(PC・サーバー・スマートフォン)上のプロセス実行・ファイル変更・ネットワーク接続・レジストリ操作などの挙動をリアルタイムで収集し、高度な脅威の検知・調査・対応を支援するセキュリティソリューションです。従来のアンチウイルスがシグネチャによる既知マルウェア検知を主体としていたのに対し、EDRは挙動ベースの異常検知・機械学習による未知脅威検知・タイムライン調査(攻撃の全体像を時系列で再現する)が可能です。CrowdStrike Falcon・Microsoft Defender for Endpoint・SentinelOneが代表的な製品で、MDR(Managed Detection and Response)はEDRをベースにSOCのアナリスト対応もセットで提供するサービスです。ファイルレスマルウェアやLotL(Living off the Land)攻撃はシグネチャに頼れないため、EDRの挙動検知が特に重要になります。EDRとSIEMを連携させることで組織全体の脅威可視性が高まり、早期発見と迅速な対応につながります。
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検…
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・M…
セキュリティ監視・インシデント検知・対応を24時間365日担当する組織・施設。SIEM・IDS/IPS・脅威インテリジェ…
関連するレッスン
組織を守る実践的な防御策を学ぶ