勉強前イメージ
なにかでセキュリティのソフトとは聞いたけど・・・
ええやつなんかな?
調査
EDR とは
Endpoint Detection and Response の略でパソコンなどで不審な挙動を検知して対応を支援するソフトウェアの総称です。
比較的新しい定義で常に監視して検出した際は管理者へ報告が行きます。
従来のアンチウイルスソフトやウイルス対策ソフトを Endpoint Protection Platform の略でEPPと言われています。
EPPはパターンマッチングなどでウイルスの侵入を防ぎます。
しかし既知のウイルスは防げても未知のものは防げません。
そこで侵入されてからでもマルウェアの挙動をしているものを振る舞い検知などで発見し、対処をおこなうのがEDRになります。
発見し連絡するだけでなく管理者への連絡し早く対処できるように支援するのがEDRになります。
もちろん、EPPも必要で
侵入される前の発見 → EPP
侵入されてからの発見 → EDR
といった役割もあり、多重でセキュリティ対策を行うことが必要です。
EDRの機能
EDRは基本的に操作ログ監視になります。
パソコン(デバイス)をagentで、管理サーバを通信を行ってデータを取得します。
そのログからマルウェア特有の動作(情報の持ち立ちや攻撃の横展開)も検出可能で
マルウェア自身の足跡削除にも素早く対応することが出来ます。
勉強後イメージ
イメージ的にはEPPはfirewall、EDRはIDSって感じかな?
中に入られてからもデータが取られる前に停止しないといけない