EDR機能

Endpoint Detection and Response（EDR）には、以下のような機能が含まれています。

情報漏洩時にアラート通知を受け取る
インシデントページでインシデントを管理
攻撃手法を分かりやすく可視化
推奨事項と修復手順
脅威フィードを使用して、一般に公開されている、ワークロードに対する攻撃を確認
視認性に優れたダッシュボード概要
拡張監視
セキュリティイベントを180日間保存

情報漏洩時にアラート通知を受け取る

EDRは、インシデントが発生するとアラートで通知します。これらのアラートは、Cyber Protectコンソールのメインメニューでハイライト表示されます。[インシデントを調査] ボタンをクリックすると、インシデント調査画面（別名: サイバーキルチェーン）にリダイレクトされ、アラートを調査することができます。

詳細については、インシデントを確認するを参照してください。

インシデントページでインシデントを管理

EDRでは、インシデントページ（Cyber Protectコンソールの保護メニューからアクセス）ですべてのインシデントを管理できます。要件に応じて [インシデント] ページの情報をフィルタリングして、重大度、影響を受けたワークロード、陽性レベルなど、インシデントの現在の状態をすばやく簡単に把握できます。また、サイバーキルチェーンに直接移動して、ノードごとに攻撃の手法を表示することもできます。

インシデントの詳細については、インシデントを確認するを参照してください。

攻撃手法を分かりやすく可視化

EDRは、攻撃の実態を分かりやすい視覚的な形式で表現したものです。これにより、セキュリティ担当者でなくても、攻撃の目的と重大度を把握することができます。EDRにより、攻撃がどのように発生したかを詳細に把握できます。Security Operation Center（SOC）サービスやセキュリティに特化した人員を配置する必要はありません。以下の情報が提供されます。

攻撃者の侵入経路
攻撃者が痕跡を隠蔽した方法
発生した損害
攻撃の拡散方法

詳細については、サイバーキルチェーンでインシデントを調査する方法を参照してください。

推奨事項と修復手順

EDRにより、ワークロードに対する攻撃に対処するための推奨操作を明確かつ簡単に実行できるようになります。攻撃を迅速に解決するには、[インシデント全体を修復] ボタンをクリックします。インシデントに及ぶ影響を軽減するための推奨手順が表示され、それに従うことができます。これらの推奨手順により、攻撃の影響を受けた処理を迅速に再開できます。一方、よりきめ細かい改善策を講じたい場合は、各ノードに移動して、関連する操作を実行して修復することができます。

また、[Copilot] をクリックしてAI支援のCopilotチャットツールを起動し、複数のリクエストを入力して、選択したインシデントに対する対応操作のアドバイスを受けることもできます。

詳細については、インシデントを修復を参照してください。

脅威フィードを使用して、一般に公開されている、ワークロードに対する攻撃を確認

EDRには、ワークロードに対する脅威フィードに含まれる既存かつ既知の攻撃を確認する機能があります。これらの脅威フィードは、Cyber Protection Operations Center（CPOC）から受け取った脅威データに基づいて自動的に生成されます。EDRにより、脅威がワークロードに影響を与えているかどうかを確認して、脅威を無効化するために必要な操作を適用できます。

詳細については、ワークロード上の既知の攻撃によるIOC（Indicators of Compromise）を確認するを参照してください。

視認性に優れたダッシュボード概要

EDRにより、Cyber Protectコンソールのダッシュボードでさまざまな統計情報が提供されます。次の情報が表示されます:

調査が必要なインシデントの数など、現在の脅威の状況。
考えられる攻撃手法（攻撃の重大度別）。
クローズ済みインシデントの効率性。
カスタマーの攻撃に使用される、もっとも効率的なタクティクス。
ワークロードのネットワーク状態、つまり、孤立しているか、接続されているか。

拡張監視

WindowsおよびLinuxマシンでは、特定の検出がない場合でも、EDRはイベントデータを継続的に収集できます。

拡張監視は保護されたワークロード上で追加のCPUリソースを消費するため、機能を有効にした後、そのパフォーマンスを確認することをお勧めします。収集されたイベントの数に応じて、データセンターとの通信に使用される帯域幅も増加する可能性があります。

セキュリティイベントを180日間保存

EDRは、ワークロードとアプリケーションのイベントを収集し、180日間保存します。180日以前のイベントは削除されます（イベントの削除は、ストレージスペースではなく、期間に基づいて行われます）。EDRをオフにした場合でも、ワークロードで過去に収集されたイベントはすべて保持され、インシデントの調査に利用できます。