Endpoint Detection and Response (EDR) は、従来の Endpoint Protection Platform (EPP) の機能とユーザーおよびエンティティの動作分析 (UEBA) を組み合わせて、エンドポイント デバイス上の悪意のある動作を検出し、攻撃から保護するセキュリティ システムの一種です。これは、ファイル アクセスとネットワークとの対話の両方について、各エンドポイント デバイス上のアクティビティを監視してログに記録することで機能します。不審なアクティビティが検出されると、問題のあるアプリケーションをブロックしたり、リスクを最小限に抑えるために接続を無効にしたりするなどの対応プロセスがトリガーされます。
EDR はリアルタイムで動作するため、悪意のある動作をほぼリアルタイムで検出して対処できるため、「検出して対応する」システムと呼ばれることもあります。この違いにより、システムが侵害される前に悪意のあるイベントを特定できるため、重要です。さらに、EDR は攻撃の範囲を理解するのにも役立ちます。これは、どのユーザーとエンドポイントが攻撃を開始したか、および使用された特定の悪意のあるコードに関する詳細情報を提供できるためです。
EDR の中核は、デバイスにインストールされるエンドポイント セキュリティ エージェントと、セキュリティ チームのメンバーがエンドポイントを可視化し制御できるようにするクラウドベースの管理コンソールで構成されます。エージェントはすべてのエンドポイントを継続的に監視し、セキュリティ チームのメンバーが環境内で何が起こっているかを確認できると同時に、さらなる被害を封じ込めて防止します。
EDR を、次世代ウイルス対策 (NGAV) または高度な脅威保護 (ATP) ソリューションと混同しないでください。どちらも脅威への対応に重点を置いています。 EDR は、検出および応答システムとして、検出と修復の両方を 1 つのプラットフォームに統合できるという利点があります。これは、組織のエンドポイントのセキュリティ管理に専念する多数の人員の必要性を軽減するのに役立ちます。
効果的かつ包括的な EDR ソリューションを導入すると、攻撃のリスクが軽減され、セキュリティ チームの可視性と制御が向上します。さらに、EDR はその継続的な性質により、従来のセキュリティ システムでは識別されなかった多くの攻撃の検出にも役立ちます。このため、組織のエンドポイントとデータを保護する上で非常に貴重なツールになります。
