EDR
定義
EDR(Endpoint Detection and Response)はエンドポイント(PC・サーバー・スマートフォン)上のプロセス実行・ファイル変更・ネットワーク接続・レジストリ操作などの挙動をリアルタイムで収集し、高度な脅威の検知・調査・対応を支援するセキュリティソリューションです。従来のアンチウイルスがシグネチャによる既知マルウェア検知を主体としていたのに対し、EDRは挙動ベースの異常検知・機械学習による未知脅威検知・タイムライン調査(攻撃の全体像を時系列で再現する)が可能です。CrowdStrike Falcon・Microsoft Defender for Endpoint・SentinelOneが代表的な製品で、MDR(Managed Detection and Response)はEDRをベースにSOCのアナリスト対応もセットで提供するサービスです。ファイルレスマルウェアやLotL(Living off the Land)攻撃はシグネチャに頼れないため、EDRの挙動検知が特に重要になります。EDRとSIEMを連携させることで組織全体の脅威可視性が高まり、早期発見と迅速な対応につながります。
関連用語
EDRが登場する記事・比較
よくある質問
EDRとは?
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリティソリューション。CrowdStrike Falcon・Microsoft Defender for Endpointが代表例。従来のアンチウイルスを超えた次世代型防御。
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ