エンドポイント検出および応答(EDR)は、テレメトリーデータを活用してサイバー脅威を検出・分析・修復する統合型エンドポイントセキュリティソリューションです。Malwarebytes ThreatDown を基盤とした EDR は、他のソリューションでは見逃されがちな攻撃を検知し、ワークステーションやサーバーへの攻撃を阻止します。
この記事は、すべてのエンドポイント検出および応答をご利用のお客様に適用されます。
エンドポイント検出および応答とは?
エンドポイント検出および応答 (EDR) は、エンドポイントデバイスをリアルタイムで継続的に監視し、脅威に対応するために設計されたサイバーセキュリティツールを指します。エンドポイントには、コンピューター、サーバー、モバイルデバイス、IoT 機器など、ネットワークに接続されたあらゆるデバイスが含まれます。EDR ソリューションは、これらのデバイス上での悪意ある活動を検出・分析・無力化するために不可欠です。
主な機能
EDR は、エンドポイントおよびサーバーのセキュリティを包括的に保護するために、複数の機能を統合しています。主な機能は以下の通りです:
- 継続的な監視:エンドポイントからのデータを常時収集します。これには、ファイルの操作、ネットワーク接続、プロセスの実行、システムレジストリの変更などが含まれます。
- 分析機能:AIや機械学習を活用して収集されたデータを分析し、悪意ある活動の兆候となる異常を特定します。
- 脅威の検出:ゼロデイ脆弱性を含む潜在的な脅威を識別します。
- 自動応答:検出された脅威に対して自動的に対応し、ファイルの隔離や感染デバイスの隔離などを行います。
エンドポイント検出および応答(EDR)とエンドポイント保護(EPP)サービスの違いとは?
EDRとEPPは、デバイスのセキュリティに対するアプローチが異なります。EDRは、高度な脅威をリアルタイムで検出・調査・対応するために設計されたソリューションです。エンドポイント上の活動を包括的に可視化し、セキュリティチームが攻撃の範囲や性質を分析できるようにします。行動分析や機械学習技術を活用することで、既知の脅威、ゼロデイ脆弱性、ファイルレス攻撃、その他の高度な脅威を特定することが可能です。また、感染したデバイスの隔離や悪意ある変更のロールバックなど、インシデント対応のためのツールも提供されます。
一方、EPPは、事前に定義された脅威のシグネチャに基づいて、悪意ある活動を検出・ブロックします。ファイルやプロセスを既知のマルウェアパターンのデータベースと照合することで脅威を防ぎます。既知の脅威に対しては効果的ですが、シグネチャが存在しない新種のマルウェアには対応が難しい場合があります。EPPの主な目的は、攻撃の防止であり、調査や攻撃後の対応には重点を置いていません。
エンドポイント保護および応答のアクセス方法
EDRは、TeamViewer Remote または Webアプリ からアクセスできます。
Remote Management タブ内の エンドポイント保護 セクションにある項目から利用可能です。
特定のデバイスの保護ステータスを確認する方法
特定のデバイスのステータスにアクセスする推奨方法は、デバイスドロワーを使用することです。
これは、TeamViewer Remote のデバイスタブまたはデバイス一覧で対象のデバイス名をクリックすることで行えます。
画面右側にドロワーが表示されるので、盾にチェックマークのアイコンが付いたタブを選択すると、そのデバイスのEDR情報にアクセスできます。
EDRのデバイスドロワーでは、以下の基本情報が表示されます:
- 適用されているポリシー
- Malwarebytesのデバイス名とグループ
- 検出
- 不審なアクティビティ
EDRは以下のセクションに分かれています:
- デバイス
- 検出
- 隔離
- 不審なアクティビティ
- レポート
各セクションの詳細については、以下の該当タブを選択してください:
- デバイス
- 検出
- 隔離
- 不審なアクティビティ
- レポート
デバイス
デバイスタブには、すべてのデバイスの一覧と以下の情報が表示されます:
- Nebula名
- グループ
- デバイスステータス
- ステータス
- 最後のスキャン日
- 最後の確認日(Last Seen)
注意が必要なデバイスには、「要対応」(Need attention)とデバイスステータスに表示されます。
検出
検出タブでは、エンドポイント上で検出されたすべての脅威の概要を確認できます。
このタブに表示されるファイルはすべてリアルタイムで識別・分析・対応されており、潜在的な被害を最小限に抑えています。
誤検知が発生した場合は、対象の脅威を選択し、「+除外を作成」(Create Exclusion) をクリックすることで、自動的に除外ルールを作成できます。
各脅威について、以下の情報が提供されます:
- ステータス
- カテゴリ
- 脅威名
- デバイスおよびデバイスグループ
- スキャン日時
脅威のステータスをクリックすると、「脅威ドロワー」が表示され、検出に関する詳細情報を確認できます。これには、以下の内容が含まれます:
- 検出された実行ファイル
- パス
- ファイルタイプ
- 実行された対応
- 脅威カテゴリ
- デバイスグループ
- スキャン日時/報告日時のタイムスタンプ
隔離されたファイルは、脅威ドロワーから復元または削除することも可能です。
隔離
隔離されたファイルは、特定のシグネチャやその他の脅威の可能性がある詳細と一致した検出結果ですが、誤検知である可能性もあります。
脅威の可能性があるファイルが隔離された場合、このタブからファイルを復元するか削除することができます。
不審なアクティビティ
「不審なアクティビティ」では、エンドポイント上のプロセス、レジストリ、ファイルシステム、ネットワークアクティビティを監視することで、悪意のある可能性のある動作を検出します。
この監視機能は、機械学習モデルとクラウドベースの分析を活用し、疑わしい動作が発生した際に検出します。
なお、検出されたすべてのアクティビティが必ずしも悪意のあるものとは限りません。
一部の検出は、正常なシステム操作によって引き起こされる場合もありますのでご注意ください。
レポートのエクスポート方法
エンドポイントの検出と応答では、必要な情報を必要なタイミングで取得できる多様なレポートが提供されています。
レポートを作成するには、エンドポイント保護 の「レポート」タブに移動し、左上の 「+レポートを作成」 を選択してください。
レポートの名前を作成し、必要なレポートの種類を選択します。
次に、希望するタイムゾーンを入力し、「続行」 をクリックしてください。
レポートを自動的に作成したい場合は、希望するスケジュール(毎月、毎日、毎週)を入力してください。
必要なときだけ実行するオンデマンドに設定することも可能です。
レポートに含める期間(報告対象の日付)を設定します。
各レポートにあらかじめ定義された期間を設定することも、レポートを実行するたびに手動で期間を入力することもできます。
最後のステップでは、レポートの受信者を追加します。
「作成」 をクリックすると、レポートが確定され、初回のレポートが実行されます。
レポートの生成と送信
オンデマンドレポートでもスケジュールレポートでも、任意のレポートをオンデマンドで実行することが可能です。
希望するレポートを選択し、↻「レポートを生成して送信」 をクリックしてください。
