EDRはどうやって不審な挙動を発見するのか？

EDRはどうやって不審な挙動を発見するのか？
DRANK

株式会社ココナラの情報システムグループ CSIRTチームのテトロドナです。本記事では、EDRはどのようにして敵対的な行動を見つけるのかを解説していきます。はじめにEDRとは、EDRはEndpoint Detection and Responseの頭文字をとった語で、従来の（とはいってもEDRの概念が初めて世に出たのがすでに結構前の話ではありますが）アンチウイルスソフトウェアと異なり、各エンドポイントの詳細なログを収集・分析することで、脅威が侵入した際の被害拡大を防ぐセキュリティソリューションの総称です。従来のセキュリティ製品との違いとしては、既知のマルウェアのシグネチャや挙動パターンをもとに検知するような静的な動作のみではなく、任意のエンドポイントにあるプロセスがどのような動きをしているのかを、機械学習や振る舞い分析を取り入れ、未知のマルウェアも含めた包括的な悪意のある行動への対策を主眼に据え置いたセキュリティソフトウェアです。では、具体的にはEDRはどのように敵対行動を検知しているのでしょうか？EDRの構成要素以下の説明は一般的な概念としてのEDRの説明を行なっており、特定の製品を指しているものではないことをご了承ください。まずはEDRの全…

zenn.dev 16 days ago

Open page

https://zenn.dev/coconala/articles/83fcca8f95237a