EDRと脅威インテリジェンスの統合

EDRと脅威インテリジェンスの統合

エンドポイント検出・対応(EDR)は、サイバー攻撃をリアルタイムで検出し、調査し、対処するためのセキュリティ技術です。脅威インテリジェンスとの統合により、EDRシステムはさらに強力なセキュリティ対策を提供することができます。

EDRの基本

EDRシステムは、エンドポイントにおける異常な行動を検出し、脅威を特定するための詳細な情報を提供します。これにより、セキュリティチームは迅速に対応し、攻撃の影響を最小限に抑えることができます(IBM)。

脅威インテリジェンスの役割

脅威インテリジェンスは、既知および未知の脅威に関するデータと情報を提供します。この情報をEDRシステムに統合することで、組織はより広範な脅威に対して事前に警告を受け、適切な防御措置を講じることができます(ITmedia)。

統合のメリット

EDRと脅威インテリジェンスを統合することで、組織は攻撃の前兆をより早期に検出し、対策を講じることが可能になります。このアプローチにより、セキュリティインシデントの数と影響を大幅に減少させることができます(ScanNetSecurity)。

EDRと脅威インテリジェンスの統合は、現代の複雑で進化し続けるサイバー脅威に対抗するための強力な手段です。これにより、セキュリティチームはより効果的に脅威を管理し、組織を保護することができます。

【SOCの対応範囲別】
EDR+SOCを提供しているおすすめベンダー2選

「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供するパートナーの中でも、SOCサービスに強みのあるベンダーを紹介します。

監視から運⽤まで
まるっと任せられる
株式会社アクト
株式会社アクト
※引用元:アクト公式HP(https://act1.co.jp/cybersecurity/)
提供するのはこんなSOCサービス

24時間体制での監視・対応はもちろん、ホワイト/ブラックリスト登録や、感染影響の排除までを能動的にすべて対応。情シス側は作業報告を受けるだけで良いため、自社にリソースがない企業におすすめ。

対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(能動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)

(能動的)
導⼊できるEDRは
センチネルワン
サイバーリーズン
   
自社のリソースも活用しながら運用していける
クロスポイントソリューション
株式会社
クロスポイントソリューション株式会社
※引用元:公式HP(https://cp-sol.co.jp/)
提供するのはこんなSOCサービス

日々のアラートをアナリストが精査・分析したうえで、通知。情シス側はその通知の指示やアドバイスに沿って対応するだけ。
自社のリソースをある程度活用しながら運用していきたい企業におすすめ。

対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(受動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)

(推奨対応を提示)
導⼊できるEDRは
サイバーリーズン
クラウドストライク
   

【選定理由】Google検索「EDR 導入」でヒットしたベンダー40社の内、「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供している企業を調査。それぞれ以下の理由で選定しました(2023年2月15日調査時点)。
株式会社アクト:国内で唯一センチネルワンの公認IRパートナー(2023年2月時点)かつSOC運用を全般的に任せられる企業(※1)。
クロスポイントソリューション株式会社:セキュリティ運用・監視サービスを提供できるパートナーとしてのメーカー認定を持っており、なおかつ「24時間365日の監視」「アラート内容の精査」「⼀次調査+⼆次調査」の能動的な対応が唯一可能な企業。

※1参照元:センチネルワン公式HP(https://jp.sentinelone.com/press/act-co-ltd-signs-an-incident-response-partner-agreement-with-sentinelone-the-first-company-based-in-japan/)