EDRソフトウェア – 購入ガイド

エンドポイント検出・応答ソリューションは企業セキュリティに不可欠です。ここでは、あなたのニーズに最適なEDRソフトウェアを見つけるための方法をご紹介します。

Image

SvetaZi | shutterstock.com

エンドポイント検出・応答(EDR)分野のソフトウェアは引き続き人気が高まっており、成熟度の向上とともにますます効果的になっています。EDRソリューションはエンドポイントアクティビティにリアルタイムの洞察を提供し、携帯電話、ワークステーション、ノートパソコン、サーバー、その他のデバイスをサイバー攻撃から保護することを可能にします。

このガイドでは、以下について説明します:

  • エンドポイント検出・応答の定義方法
  • EDRツールが備えるべき機能
  • エンドポイントセキュリティの分野でどのプロバイダーとソリューションが主導的な役割を果たしているか、および
  • 投資前に関連する具体的な質問

エンドポイント検出・応答の説明

EDRツールは、様々なエンドポイントソースから行動データを収集します。これには、WindowsやMacコンピュータなどの従来のコンピューティングデバイスと同様に、プリンタやコントローラーなどの周辺機器やIoTデバイスも含まれます。IT専門家に疑わしいアクティビティや進行中のサイバー攻撃について警告するために、エンドポイントセキュリティソリューションは以下のシグナルも分析します:

  • ネットワークトラフィックパターン
  • クラウドコンピューティングアプリケーション、および
  • システムログ

これは「検出側」をカバーしています。「対応側」に関しては、EDRソリューションは損害を制限し、修復することもできます。例えば、疑わしいデバイスを分離したり、ファイアウォールで問題のあるネットワークセグメントを保護したりすることで実現できます。特定のツールの機能方法によって、これらのプロセスはより多くまたはより少ない手動の努力が必要になる場合があります。 

しかし、現在ではEDRを他の検出製品カテゴリーから区別することが難しくなっています。最良の例は拡張検出・応答(XDR)です。現在、多くのEDRソリューションはスコープと機能が大幅に拡大しており、その結果、一部はXDRに「リラベル」されています。これにより、カテゴリ間の境界線がますます曖昧になっています。 

ただし、EDRとXDRの融合の増加は、検出全体市場の観点からは一つの側面に過ぎません。この分野の製品は、特に以下の名称で動作しています:

高品質なエンドポイントセキュリティソリューションは、以下の機能を備える必要があります:

  • 高度な脅威検出機能:効果的なエンドポイント検出・応答ソリューションは、イベントを監視し、リアルタイムで対応することができます。また、ネットワークとアプリケーションの増加に自動的にスケールできる必要があります。
  • 深層調査のサポート:これにより、セキュリティチームは潜在的な脅威を理解し、できるだけ早く対応策を実行できます。 
  • 統合能力:EDRツールは、ファイアウォール、SIEMSOAR、インシデント対応ツールなど、様々な他のセキュリティソリューションと統合できる必要があります。これにより、組織はAPIとコネクタを通じてシステム全体で脅威情報を共有することができます。
  • 集中管理機能と分析ダッシュボード:過度なトレーニングを回避し、企業内のすべてのエンドポイントの現在のステータスを常に把握するために、EDRソフトウェアは中央コンソールとデータ分析を提供する必要があります。  
  • 5つの主要なエンドポイントオペレーティングシステムの完全なサポート:Windows、macOS、Android、iOS、Linuxデバイスが理想的にカバーされるべきです。

6つの最も重要なエンドポイントセキュリティソリューション

エンドポイント検出・応答市場には、様々なプロバイダーからのソリューションが数多くあります。この記事では、有名なプロバイダーからの6つの実績のある推奨ソリューションをご紹介します。

CrowdStrike Falcon Insight EDR

CrowdStrikeソリューションはXDRおよびEDR機能を組み合わせており、Android、Chrome OS、iOS、Linux、macOS、Windowsデバイス上の(高度な)脅威を自動的に識別および優先順位付けすることになっています。さらに、Falcon Insight EDRはリアルタイム対応機能を提供し、調査中のエンドポイントにアクセスします。

CrowdStrikeソフトウェアは、悪意のあるアクティビティを自動的に識別および分類するために、AIを活用した攻撃インジケータを使用しています。自動化されたアラート優先順位付けは、手動検索と時間のかかる調査作業を不要にすることを約束しています。統合された脅威インテリジェンス機能のおかげで、帰属を含むサイバー攻撃のより広範なコンテキストも見落とされません。

Microsoft Defender for Endpoint

Microsoft Defender for Endpointは、ランサムウェア、ファイルレスマルウェア、およびその他の洗練された攻撃方法の風をなくすことを約束しています。このツールはAndroid、iOS、Linux、macOS、Windowsで機能します。統合された脅威分析レポートにより、組織は以下のことが可能になるはずです:

  • 新たに発生する脅威についてすばやく概要を把握できる
  • 自分たちのリスク状況を評価することができる、および
  • 適切な対策を定義することができる

さらに、Defender for Endpointは、Microsoftおよびサードパーティのセキュリティ設定を監視します。ソフトウェアが検出した場合、リスクを最小化するための自動化されたアクションを実行します。

Palo Alto Networks Cortex XDR

CortexはPalo AltoによってもともとEDRツールとしてマーケティングされていました。しかし、ソリューションはXDR製品に拡張されています。Palo Altoエンドポイントソリューションは、すべての関連するオペレーティングシステムをカバーし、XSOARなどの多くの他のPalo Altoツールと統合されています。 

このエンドポイント検出・応答ソリューションも、攻撃の原因とシーケンスを自動的に明らかにします。また、ユーザーに誤検知を減らし、恐れられている「アラート疲弊」に対処することを約束しています。

SentinelOne Singularity

SentinelOneのクラウドベースプラットフォームは、EDR機能とワークロード保護およびアイデンティティ脅威検出を組み合わせています。Android、iOS、Linux、macOS、Windowsデバイス、およびKubernetesインスタンスで機能します。

Singularityプラットフォームはさらに以下を約束しています:

  • 最適化された脅威検出
  • サイバーインシデント対応時間の短縮、および
  • 効果的なリスク最小化

これは、プラットフォームの透明な設計、その高性能な分析機能、および自動化された対応機能を含みます。最後に、SentinelOneのエンドポイントソリューションは実装が簡単で、スケーラブルで、ユーザーフレンドリーなインターフェイスを備えています。

Sophos XDR

このエンドポイントセキュリティソリューションは、様々なSophosおよびSecureworksの製品からのテレメトリデータを使用し、これを他の外部ツールからのデータと組み合わせています。結果として、EDR機能とXDR機能を組み合わせたソフトウェアが得られます。統合能力の観点からも、Sophos XDRは説得力があります。このツールは以下と統合されています:   

  • ファイアウォール製品
  • アイデンティティソリューション
  • ネットワークセキュリティツール
  • 生産性アプリケーション
  • メールセキュリティソリューション
  • バックアップおよびリカバリソフトウェア、および
  • クラウドインスタンス

Sophos XDRは、生成AI機能を使用して、セキュリティの専門家が攻撃者をより迅速に中立化できるようにしたいと考えています。進行中の攻撃を検出し、自動化された防御措置を講じるリアルタイム保護と組み合わせると、サイバー攻撃を防ぐ可能性が高まります。 

Trend Micro Apex One

Trend MicroソリューションのApex Oneはセキュリティプロバイダーの Vision-Oneプラットフォームに統合されています。このプロダクトもEDR機能とXDR機能の両方を提供し、Android、iOS、macOS、Windowsをサポートしています。残念ながら、Linuxシステムは対象外です。

Apex Oneは、ゼロデイの脅威から保護することを約束しており、マルウェア対策技術とバーチャルパッチングの組み合わせを使用して実現しています。ランサムウェア、マルウェア、悪意のあるスクリプトがエンドポイントに影響を与える可能性はなくなるはずです。サードパーティのセキュリティツールを統合するために、Trend Microソリューションは多数のAPIを提供しています。

EDR投資前の4つの質問

EDRの購入判断を下す前に、自分自身またはあなたが選んだプロバイダーにいくつかの質問をする必要があります:

  1. ソリューションは他のセキュリティツールとどのように統合されており、それはどのように実現されていますか?
  2. 該当するソリューションは、疑わしい行動パターンと悪意のある行動パターンをどのように区別していますか?
  3. ソフトウェアはすべての関連するエンドポイントをカバーしており、より大規模なネットワークにスケーリングできますか?
  4. ツールは誤検知をどの程度よく識別していますか?

(fm)

翻訳元: https://www.csoonline.com/article/3616110/edr-software-ein-kaufratgeber.html

ソース: csoonline.com