- 2024/02/21
- EDR
EDRの便利機能を使いこなすことでより効率的なセキュリティ対策を
Post by : Kenta Yoshida
弊社が提供するEDR製品「Cybereason EDR」は、国内EDR市場においてここ数年トップシェアを維持し続けており、おかげ様で多くのお客様にご利用いただいています。その高い検知精度やコンソールの操作性・可視性は多くのユーザーから高い評価を受けていますが、その一方でEDRの主機能である「脅威の検知」以外の周辺機能についても多くの方から問い合わせをいただく機会が増えています。
そこで本稿では、特に問い合わせが多かった周辺機能を幾つかピックアップして紹介したいと思います。
「振る舞い許可リスト」で誤検知・過検知を減らす
誤検知や過検知を回避するために「特定のファイルやプロセスの実行を許可する機能」は、現在多くのセキュリティ製品が実装しています。さらにEDRをはじめとする振る舞い検知型のセキュリティ製品では、より細かく実行許可の条件を指定できるようになっています。
例えば近年被害が拡大している「サポート詐欺」のような攻撃の手口では、正規のリモートアクセスツールが多く悪用されます。しかしこのツールのファイルやプロセスの実行を直接検知してしまうと、正規の利用のたびにアラートが上がることになり、誤検知や過検知があまりにも多くなってしまいます。そこで近年の振る舞い検知の製品では、「どのプロセスから呼び出されたか」を条件として指定し、正規のプロセスから呼び出された場合は検知対象から除外できるようになっています。
さらに弊社の製品ではもう一歩踏み込んで、呼び出し元の親プロセスだけでなく、その親プロセスの呼び出し元である「親の親プロセス」まで遡って条件指定できるようになっています。この機能を活用することで、例えばOS標準のコマンドラインツールのプロセスから呼び出された場合、さらにその呼び出し元の「親の親プロセス」まで辿ることで「脅威として検知するべきかどうか」をより高い精度で判定できるようになります。
「調査機能」でエンドポイント端末の状態を可視化
「せっかくすべての端末にEDRのエージェントソフトウェアを導入するのだから、各端末上で『USBメモリが不正利用されていないか』『利用が禁止されているSNSへのアクセスがないか』についても監視できないのか」。最近、こういったお問い合わせをいただくことが増えてきました。
これらの機能はもともとクライアント運用監視ツールやIT資産管理ツールが担ってきたものですが、近年ではEDR製品にこうした機能が求められることも多くなってきました。弊社のCybereason EDRでも、USBメモリの管理に特化した機能はないものの、「調査機能」を活用することで同等の管理が可能になります。
具体的には、Cybereason EDRを導入したすべての端末に対して「USBメモリに割り当てられたドライブパスの利用状況」「USBのデバイスドライバの稼働状況」などの条件で検索を実行することで、どの端末でいつどのようにUSBメモリが利用されたかをまとめて可視化できるようになっています。
また同様の手法を用いて、「不審なリモートアクセス通信が行われていないか」「C&Cサーバとの通信が疑われるような大量のデータ通信が行われていないか」といったことを簡単に調べることもできます。
独自の検知条件を指定できる「カスタム検知」
EDRが標準機能で検知するサイバー脅威以外にも、「特定の条件に合致した場合には、やはり検知のアラートを上げてほしい」という要望をいただくこともあります。Cybereason EDRでは「カスタム検知」と呼ばれる機能を使うことで、ユーザーが独自の検知ルールを追加することができます。
例えば外部への情報漏えいが疑われるデータ通信を検知するために、「合計送信バイト数が20Mバイト以上」かつ「外部向け通信である」かつ「接続先ドメインが業務で許可されたもの以外」という条件に合致した場合に、検知アラートを発行するよう指定できるようになっています。
この機能を使えば、例えばほかにも「リモートアクセスツールの不正利用」「業務利用を禁止されているSNSの利用」などを検知するための条件を個別に指定し、Cybereason EDRにアラートを発行させることができます。
「リモートアンインストール機能」でアンインストール作業を効率化
セキュリティソフトウェア製品を運用する際に、よく課題として挙がるのが「アンインストール作業の煩雑さ」です。特に日本企業は業務用PCをリース調達することが多いため、リース期間が満了してPCを返却する前にセキュリティソフトウェアをアンインストールする必要があり、そのために膨大な手間が掛かることがあります。
その点弊社の製品は、管理コンソールのGUIからアンインストール対象の端末を指定し、リモートからアンインストール処理を実行できるため、極めて効率的に作業を行うことができます。しかも作業の履歴はすべてログに記録されるため、端末ごとに「アンインストール済であるかどうか」「アンインストールに成功したか失敗したか」を確認することも可能です。
こうした機能は、特に日本企業に特有の運用形態を考慮して実装されたものです。弊社が外資系ベンダーでありながら日本市場をとても重要視しており、日本のお客様の声に真摯に耳を傾けている表れだと言えるでしょう。
エンドポイントセキュリティ選定ガイド
次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。
複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/
