エンドポイント・ディテクション & レスポンス
en : Endpoint Detection and Response
略 : EDR
エンドポイント (端末) を守るセキュリティ製品あるいは技術
マルウェア感染後の被害の食い止めに重点を置く
ウイルス対策ソフトと併用して、パソコンなどの端末にエージェントと呼ばれる専用ソフトを組み込んで使うのが一般的
EDR と対比して、ウイルス対策ソフトをエンドポイント・プロテクション・プラットフォーム (EPP) と呼ぶこともある
2 種類の手法で検知
端末のイベントログから感染や攻撃の痕跡を見つける
サイバー攻撃と疑わしい振る舞いを動的に検知
from すべてわかるゼロトラスト大全
4 大機能
被害の検知 : 端末をモニタリングし、攻撃と思われる異常な振る舞いを検知
被害の封じ込め : 感染が疑われるパソコンのネットワークを遮断したり、疑わしいプロセスを停止
調査 : 管理対象の全端末のログを集約して分析
被害の修復
2010 年代にマルウェアの種類が急増したことで EDR が台頭
近年のマルウェアの例
WannaCry
Emotet
Ekans