ネットワーク セキュリティにおける EDR とは何を意味しますか?

ネットワーク セキュリティでは、EDR は「エンドポイントの検出と対応」を指します。これは、リアルタイムの監視と、端末の記録によるエンドポイント セキュリティ データの収集のための自動脅威対応メカニズムの使用を含む、プロアクティブなエンドポイント セキュリティ ソリューションです。およびネットワーク イベントの場合、この情報はエンドポイントにローカルに保存するか、データベースに集中的に保存します。 EDR は、既知の攻撃指標、データを継続的に検索するための行動分析データベース、および潜在的なセキュリティ脅威を監視し、これらのセキュリティ脅威に迅速に対応するための機械学習テクノロジーを収集します。

このチュートリアルの動作環境: Windows 7 システム、Dell G3 コンピューター。

Endpoint Detection & Response (EDR) は、端末とネットワークのイベントを記録し、この情報をエンドポイント上でローカルに保存するか、データベースに集中的に保存するプロアクティブなエンドポイント セキュリティ ソリューションです。 EDR は、既知の攻撃指標、データを継続的に検索するための行動分析データベース、および潜在的なセキュリティ脅威を監視し、これらのセキュリティ脅威に迅速に対応するための機械学習テクノロジーを収集します。また、攻撃の範囲を迅速に調査し、対応機能を提供するのにも役立ちます。

能力

• 予測: リスク評価、脅威の予測、ベースライン セキュリティ体制 (ベースライン セキュリティ体制)。

• 保護: システムを強化する (システムを強化する)、システムを分離する (システムを隔離する)、攻撃を防ぐ (攻撃を防ぐ)。

• 検出: インシデントを検出し、リスクを確認して優先順位を付けます。事件が含まれています。

• 応答: 修復し、ポリシーを変更し、インシデントを調査します。

セキュリティ モデル

エンドポイント セキュリティ保護に事前設定されたセキュリティ ポリシーを使用する静的防御テクノロジーと比較すると、EDR の脅威検出および対応フォレンジック機能が強化され、エンドポイント イベントを迅速に検出、特定、監視、処理することで、害を及ぼす前に脅威を検出してブロックし、保護されたネットワークをゼロデイ脅威やさまざまな新たな脅威から保護できるようになりました。セキュリティ モデルは次の図に示されています:

1. 資産検出

は、アクティブ スキャン、パッシブ ディスカバリ、手動入力、および手動検査を通じて定期的に収集されます。ネットワーク全体のすべてのエンドポイント資産、および使用中のソフトウェアの名前とバージョンを含む、現在のネットワーク内のすべてのソフトウェアおよびハードウェア資産により、ネットワーク全体にセキュリティの盲点がないことが保証されます。

2. システムの強化

定期的な脆弱性スキャン、パッチ適用、更新、およびセキュリティ ポリシーのさらなる改善、現在許可されていないソフトウェアの実行をホワイトリストに登録し、許可された場合にサーバー ポートとサービスを開くことをファイアウォール経由に制限する必要があります。内部担当者のアカウント番号、パスワード、認証情報を定期的に確認、変更、クリーンアップすることが最善です。

3. 脅威検知

エンドポイントのローカルホスト侵入検知により異常動作分析を実施し、発生前、発生中、発生後の様々なセキュリティ脅威に対して対応する防御・防御措置を講じます。動作を検出します。

4. 対応とフォレンジック

ネットワーク全体のセキュリティ脅威を視覚的に表示し、脅威を自動的に隔離、修復、レスキューし、インシデント対応とフォレンジックのしきい値を下げます。緊急対応とフォレンジック分析は外部の専門家を利用して完了できます。

機能

• セキュリティ インシデントを調査する;

• エンドポイントを修復する感染前の状態です。

• セキュリティ イベントを検出します。

• には端末イベントが含まれます。

##仕組み

EDR テクノロジーがインストールされると、EDR は高度なアルゴリズムを使用してシステム上の個々のユーザーの行動を分析し、そのアクティビティを記憶して関連付けます。

システム内で特定のユーザーの異常な動作を感知すると、悪意のある動作の兆候を防ぐためにデータがフィルタリングされ、これらの兆候がアラームをトリガーして、攻撃が真であるか偽であるかを判断します。

悪意のあるアクティビティが検出された場合、アルゴリズムは攻撃パスを追跡し、攻撃パスをエントリ ポイントまで再構築します。 (相関追跡)

その後、このテクノロジーはすべてのデータ ポイントを悪意のある操作 (MalOps) と呼ばれる狭いカテゴリに結合し、アナリストが見やすくします。

真の攻撃が発生した場合、顧客には通知が届き、実行可能な対応手順と、さらなる調査と高度なフォレンジックのための推奨事項が提供されます。誤警報の場合は警報は閉じられ、調査記録のみが追加され、お客様への通知は行われません。 #

EDR の中核は次のとおりです。 一方で、既存のブラックリストとウイルス シグネチャに基づくエンドポイントの静的防御テクノロジを使用して、既知の脅威をブロックします。一方で、外部または内部からのさまざまなセキュリティ脅威は、クラウド脅威インテリジェンス、機械学習、異常動作分析、攻撃指標などを通じて積極的に発見できます。同時に、エンドポイントのバックグラウンド データ、マルウェアの動作、高度な脅威のライフ サイクル全体に基づいて包括的な検出と対応が実行され、自動ブロック、フォレンジック、修復、トレーサビリティが実行されてエンドポイントを効果的に保護します。

EDR には、エンドポイント、エンドポイント検出および応答センター、およびビジュアル表示の 3 つの部分が含まれます。システム フレームワークは図に示すとおりです。

エンドポイント: EDR では、エンドポイントには、情報レポート、セキュリティ強化、動作監視、アクティブ ファイル監視、迅速な対応、セキュリティ フォレンジックなどの基本的な機能のみがあり、エンドポイントの動作をレポートする責任があります。情報をエンドポイント検出および対応センターに送信し、発行されたセキュリティ ポリシー、対応、証拠収集指示などを同時に実行します。

エンドポイント検出および対応センター: は、資産検出、セキュリティ強化、脅威検出、フォレンジック対応およびその他のセンターで構成されます。

視覚化: さまざまなエンドポイント セキュリティの脅威に対するリアルタイムの可視性と制御性を提供し、セキュリティの脅威の検出と処理の複雑さを軽減し、ユーザーがセキュリティの脅威により迅速かつインテリジェントに対応できるように支援します。

#脅威の種類の検出

#マルウェア (クライムウェア、ランサムウェアなど)

#ファイルレス攻撃

• 正規のアプリケーションの悪用

• 不審なユーザーのアクティビティと行動
• 機能タイプとコレクション タイプ

EDR は、そのアルゴリズムが脅威を検出して対処するだけでなく、アラートの管理も簡素化するという点で独特です。そして攻撃データ。行動分析を使用してユーザーのアクティビティをリアルタイムで分析すると、エンドポイントを中断することなく潜在的な脅威を即座に検出できます。攻撃データを分析可能なイベントに結合し、ウイルス対策ツールやその他のツールと連携して安全なネットワークを提供することで、フォレンジック分析の機能を強化します。

エンドポイントの検出と応答は、再起動を必要とせずに、エンドポイントにインストールされているセンサーを通じて実行されます。このすべてのデータは、デバイスがどこに配置されているかに関係なく、エンドポイント アクティビティの全体像を形成するために結合されます。

• 主要技術

インテリジェントサンドボックス技術不審者を狙うコードの動的動作分析の主要なテクノロジーは、さまざまな仮想リソースをシミュレートすることによって厳密に制御され、高度に分離されたプログラム実行環境を構築し、疑わしいコードの実行中に動作情報を実行して抽出し、未知の悪意のあるコードを迅速に特定することです。

機械学習テクノロジー

は、人工知能分野の中核となる多分野にわたる学際的な知識であり、どのようにするかに特化しています。コンピュータは人間の学習行動を実現し、新しいスキルや知識を獲得することで既存の知識システムを再編成し、自身のパフォーマンスを継続的に向上させます。大規模なデータマイニング処理では、自動分析によってパターンを取得し、これらのパターンを使用して未知のデータを予測できます。

#デジタル フォレンジック テクノロジ

デジタル フォレンジックとは、コンピューター、ネットワーク、電子機器などのデジタル機器内のデジタル証拠を特定、保護、抽出、アーカイブするプロセス。 EDR では、デジタル フォレンジックは、クラウド コンピューティング環境フォレンジック、スマート ターミナル フォレンジック、ビッグ データ フォレンジックなどの主要テクノロジーを克服し、エンドポイント侵入​​の電子証拠を自動的に特定して収集し、フォレンジック分析の技術的しきい値を下げ、フォレンジックとセキュリティの効率を向上させる必要があります。分析結果の正確性を実現し、エンドポイントセキュリティインシデントの調査とサイバー犯罪対策のための技術サポートを提供します。

EDR の長所と短所

利点

EDR は正確な識別 攻撃に固有の利点。エンドポイントは攻撃と防御の対立の主戦場であり、EDRによるエンドポイントの防御を実現することで、より包括的にセキュリティデータを収集し、セキュリティ脅威を正確に特定し、セキュリティ攻撃の成否を正確に判断し、セキュリティインシデントの発生プロセスを正確に復元することができます。

EDR は、エンドポイント セキュリティ防御のライフサイクル全体を完全にカバーします。さまざまなセキュリティ脅威イベントに対して、EDR は、発生前、発生中、発生後に、対応するセキュリティ検出と対応アクションを実行できます。セキュリティインシデントが発生する前に、クライアントのセキュリティデータをリアルタイムでプロアクティブに収集し、対象を絞ったセキュリティ強化を実行します。セキュリティインシデントが発生した場合は、異常動作検出やインテリジェントなサンドボックス分析などのさまざまなセキュリティエンジンを通じて、プロアクティブにセキュリティ脅威を発見し、防止します。セキュリティインシデント発生後は、が発生した場合は、エンドポイント データを通じて起点を追跡します。

EDR は、さまざまなネットワーク アーキテクチャと互換性があります。 EDR は、従来のコンピュータ ネットワーク、クラウド コンピューティング、エッジ コンピューティングなどのさまざまなネットワーク アーキテクチャに幅広く適応でき、さまざまなタイプのエンドポイントに適用でき、ネットワークやデータの暗号化の影響を受けません。

EDR は、管理者がセキュリティの脅威にインテリジェントに対応できるように支援します。 EDR は、セキュリティ脅威の発見、隔離、修復、修復、調査、分析、フォレンジックなどの一連のタスクを自動的に完了できるため、セキュリティ脅威の発見と処理の複雑さが大幅に軽減され、ユーザーがセキュリティ脅威にさらに対応できるように支援できます。迅速かつインテリジェントに。

欠点

• EDR の制限は、既存のエンドポイント セキュリティ防御テクノロジーを完全に置き換えることはできないことです。 EDR は、ウイルス対策、ホスト ファイアウォール、ホスト侵入検出、パッチ強化、周辺機器制御、ソフトウェア ホワイトリストなどの従来のエンドポイント セキュリティ防御テクノロジーと補完的な関係にあり、代替するものではありません。

技術的な前提条件

EDR を使用したり、EDR をよりよく理解したい場合は、ある程度の知識が必要です。このようにして、EDR の原理と使用法をよりよく理解し、使用できるようになります。

• Linux 環境、Python またはシェル、Java に精通している;

• Hadoop、Spark およびその他のビッグデータ コンポーネントに精通している;

• データマイニングと分析 (リスクレベル分類など)、データ統計技術 (一部の信頼度計算など)、機械学習技術 (分類検出など)、深層学習技術、ビッグデータに精通している分析技術（主に相関分析）、ファネル分析手法など

• mysql または nosql データベース、集中ストレージ データベース、分散ストレージ データベースに精通していること。

さらに関連する知識については、FAQ 列をご覧ください。

以上がネットワーク セキュリティにおける EDR とは何を意味しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。