EDRに必要なリアルタイム性とは?

EDRに必要なリアルタイム性とは?

EDR (Endpoint Detection and Response)は、巧妙化するサイバー攻撃に対抗するソリューションとして、防御をすり抜けた脅威の早期発見や、被害を受けた事後の初期対応ツールとして、企業や組織でセキュリティインシデントが発生した際のリスクを軽減する目的で導入されます。

目次

 EDRにおける「過去」と「現在」の関係性

ここでの「過去」とは、EDRでこれまでに収集・分析してきたエンドポイントの活動情報を指します。明らかに脅威であると判断したイベント、実行時点では脅威ではないと判断したイベント、脅威の可能性があると判断したイベント等、幅広い情報を自動で収集し、そのデータを活用して調査や対処を行います。個別のアラートだけではなく、イベントの流れから、将来脅威に変わるリスクの芽を監視するための「過去」の蓄積は、EDRが持つべき基本的な役割と言えます。

それに対して「現在」とは、エンドポイントに対して脆弱性やコンプライアンスの確認のために、リアルタイムで調査することを指します。「過去」と大きく異なる点は、既に収集した情報の絞り込みではなく、リアルタイムのエンドポイントの状況を能動的に取得する、という点にあります。

EDRに必要な基本的な要件

1.過去に発生したあらゆる事象の調査が可能か
(=長期間、あらゆるイベントを記録できるか)

2.脅威の封じ込めと復旧対応を迅速に行えるか
(=あらゆるインシデントレスポンスが可能か)

3.現在のエンドポイントの現状を素早く把握できるか
(=リアルタイム性があるか)

なぜ、EDRにリアルタイム性が必要なのか

インシデント発生時は、迅速な意思決定で被害を最小限に抑えることが非常に重要です。そのためには、EDRで収集していた過去の情報に加えて、ネットワーク内外にある全てのエンドポイントの「現在」と照らし合わせた判断が必要です。例えば、特定のファイルによってマルウェア感染が発生した場合、アラートで検知できた脅威の対処は勿論、同一ファイルが他のエンドポイントに拡散していないか、調査をして、対処すべき影響範囲を正確に特定する必要があります。

また、日々変化するエンドポイントの詳細な状況をすぐに把握して可視化できることは、インシデント発生を未然に防ぐ取り組みにも活用できます。望ましくないアプリケーションの利用把握や、不適切なアクセスをしているユーザーの確認をする等の組織内に潜むリスクや脆弱性を定期的に確認をすることで、セキュリティリスクを予防的に対処する「サイバー・ハイジーン(ITの衛生管理)」を、運用に取り入れることも可能になります。

VMware Carbon Blackのリアルタイム調査と対応・
復旧ソリューション

リアルタイムでの脅威ハンティングとインシデントレスポンスができ、かつ、端末への負荷が少ないソリューションとして、VMware Carbon Blackのリアルタイム調査と対応・復旧機能をご紹介いたします。

「調査」機能:Live Query

Live Query機能では、管理者はエンドポイントに対してオンデマンドでクエリを発行して調査が可能です。例えば、ファイルの操作履歴やアプリケーションの利用状況、パッチの適用状況、ユーザーに割り当てられた権限、ディスク暗号化状態といった詳細な情報を全エンドポイント対象に確認することが可能です。調査にはあらかじめ用意されたクエリを使用することも、SQL風のシンプルなクエリ文を独自作成することも可能です。
Live QueryはVMware Carbon Black CloudのAdancedエディションEnterpriseエディションで提供されます。

Live Query機能

「対応・復旧」機能:Live Response

Live Response機能では、リモートからエンドポイントに直接接続し、コマンドを使った様々なインシデントレスポンスを行うことができます。例えば、マルウェアの削除や、変更されたレジストリキーの復旧、ファイルの救出、詳細調査のためのデータ取得等の豊富な調査・復旧作業を、遠隔から実施することが可能です。Live Query機能と組み合わせることにで、同一の管理コンソールから、現状調査から対応・復旧といったインシデントレスポンスを、リアルタイムで行うことができます。

Live Response機能は、VMware Carbon Black Cloudの全てのエディションで提供されます。

Live Response機能
目次