私たちについて 無料トライアルを始める お問い合わせ
日本語
English Deutsch Français 日本語 Español Svenska 中文

EDR 購入者ガイド

Archana Mahtani

Published on 24 Oct 2022

EDR、バイヤーズ、ガイド

近年、エンドポイントとデータの急増と相互接続、および脅威アクターによる悪意のある活動の増加が見られます。これらの変数は、大企業と中小企業の両方の事業継続に重大な危険をもたらしています。サイバー犯罪者と国家支援組織は、ますます企業を標的にしています。

従来の保護アプローチは既知の脅威に対抗しますが、高度で未知の攻撃戦略の影響を受けやすく、資産についての洞察が得られないため、これらのシステムを保護する上で大きな障害となっています。エンドポイント セキュリティの専門家は、多くの場合、最大規模または最も資金力のある企業にしかアクセスできません。現在、多くの攻撃が複数の可動部分を使用して機械の速度で発生しているという現実と相まって、従来のエンドポイント セキュリティ ソリューションに依存している人間のチームは対応できません。

エンドポイント検出および対応 (EDR) ソリューションは、マルウェアを防止および隔離するとともに、セキュリティ専門家にこれらの脅威に効果的に対処するために必要なツールを提供します。最新の EDR は、アナリストの作業負荷を増やしたり、高度な資格を持つセキュリティ担当者を必要としたりすることなく、ランサムウェアやファイルレス攻撃などの急速に進化する自動化された高度な脅威に対抗することで、ビジネスの継続性を確保できます。

自動化と使いやすさ

2022 年以降、高度な脅威と攻撃対象領域が拡大すると予想されており、多くの企業がハッカーへの対応に苦慮しています。最新の EDR は、巧妙な自動化によって増大する負担を軽減し、高度な資格を持つセキュリティ担当者の必要性を軽減するはずです。

顧客が EDR から迅速に価値を得るための鍵は、自動化と簡素化です。AI自動化により、作業の大部分がアルゴリズムに委任され、人間の関与が減りました。このような AI 技術により、プログラムは使いやすくなり、チームは長時間の有効化を必要とせずにすぐに起動して実行できるようになります。

攻撃中は応答のタイミングが重要です。インフラストラクチャに損害を与える前に高度な脅威を除去するには、調査時間を 1 分未満に抑える必要があります。

購入者は、自己完結型で、自動検出および対応機能を備えた EDR を探す必要があります。これにより、アナリストは攻撃の進行状況を明確にリアルタイムで把握でき、迅速に通常の状態に戻るためのガイド付きの修復を提供できます。

アラートの管理

EDR と標準的なウイルス対策 (AV) ソリューションの主な違いは、AV は検出に既存のシグネチャに依存し、脅威を阻止するには脅威を認識する必要があることです。一方、EDR はエンドポイントでの動作に基づいてマルウェアやその他の潜在的なリスクを検出する動作アプローチを採用しています。さらに、ウイルス対策とは異なり、EDR は軽量で定期的な更新を必要としません。

アラートの数とアナリストの作業負荷を最小限にするには、最新の EDR で使用される AI が、迅速な検出、優れた精度、高い忠実度を備えている必要があります。購入者は、使用される AI と機械学習の方法について学ぶ必要があります。検出のために事前トレーニング済みのモデルと分析に依存する AI エンジンと比較して、初期学習モデルを使用して各エンドポイントの通常の動作を定義する EDR は、通常からの逸脱が発生したときに検出とアラートの精度が向上します。

現代の EDR には、アナリストから学習し、日常のアラート処理でアナリストの意思決定を自律的に実装して、対応時間を改善し、アナリストのアラート疲労を軽減できる、強力な AI 駆動型アラート管理システムが搭載されている必要があります。完全に自動化された AI 駆動型アラート管理ソリューションを導入することは、アラート疲労に対処し、スタッフの離職率を下げ、制御を取り戻すために不可欠です。

脅威検出

脅威ハンティングは、現代の EDR システムの重要なコンポーネントであり、環境をクリーンで脅威のない状態に保つために必要です。脅威ハンティングにより、新しい脅威を迅速に検出し、エコシステムの弱点を発見できます。データ マイニングにより、報告されないまま数か月、あるいは数年にわたって環境内に存在し、攻撃者に悪用されるのを待っている潜在的なリスクを検出して根絶できます。

インメモリ攻撃とファイルレス攻撃は、その性質上追跡が困難であり、攻撃者が大規模なインフラストラクチャを横断する際に複数のバリエーションを使用すると、追跡がさらに困難になります。現代の EDR は、ハンティング プロセスを自動化し、データ マイニングを採用して、セキュリティ チームが過去のイベントと動作や機能の類似性があるリスクを自動的に検索し、数秒で結果を提供できるようにする必要があります。

脅威を探す際には、適応性を持つことが重要です。購入者は、すぐに実装できる事前構築済みの検出プレイブックの大規模なライブラリを提供するだけでなく、スクリプト作成の経験がなくても、組織のセキュリティ要件に固有の特定の状況に合わせて簡単に生成できるカスタム プレイブックも提供する EDR を探す必要があります。

脅威ハンティングでは、干し草の山から針を探すのがよく例えられます。EDR 検索では、特定のハンティング基準までドリルダウンし、そのようなパラメータを包括的または排他的に組み合わせることで、完全で詳細な結果をリアルタイムで提供できる必要があります。アナリストをさらに支援し、時間を節約するには、結果を使いやすいグラフィカル ユーザー インターフェイス (GUI) で表示して、アナリストがいつでも、どのエンドポイントからでも、あらゆるイベントを簡単かつ直感的に検索できるようにする必要があります。



Whitepapers Online 限定の EDR バイヤーズ ガイド ホワイトペーパーの紹介について詳しくは、IBM のホワイトペーパーをダウンロードしてください。

Icon
THANK YOU

You will receive an email with a download link. To access the link, please check your inbox or spam folder