AhnLab EDR
巧妙な検知、専門的な分析と対応、 能動的な追跡
エンドポイントに向けた攻撃は高度化と多様化を繰り返しています。毎日数多くの新種のマルウェアが現れる現在、すべての脅威を事前に遮断することは不可能に近いです。これからは、脅威を常時監視し、迅速な侵害事故の認知による対応で、脅威を最小限に抑えるセキュリティシステムの樹立が必要です。
AhnLab EDR は、エンドポイントの脅威を巧妙に検知して原因と背景を分析し、最適な対応策を提示します。それだけでなく、脅威を能動的に追跡し、企業が事前予防および再発防止システムを構築できるようにします。30年以上蓄積してきたアンラボの技術力が凝縮された AhnLab EDR は、MITRE ATT&CK Evaluation Round 4 で優秀な成績を記録し、優れた脅威検知&対応力が認められました。
AhnLab EDR は、行為ベースの分析エンジンに基づき、卓越した脅威行為モニタリングおよび分析能力を備えています。これにより、幅広いエンドポイント可視性を提供し、運営および構築の利便性を高め、一歩進んだ脅威検知 & 対応を具現化します。
AhnLab EDR は、 ▲運営の利便性 ▲巧妙な脅威検知 & 分類 ▲専門的な分析 & 対応 ▲MDR サービス ▲MITRE ATT&CK 評価検証など EDR ソリューションに要求される事項に対していくつかの強みを持っています。
1. 運営の利便性
脅威を検知して対応することは、基本的に複雑な作業です。したがって、機能に劣らず重要なのが「運営の利便性」です。AhnLab EDR は、直感的な運営とアンラボの技術力 ・ 専門性を備えた専用コンソール「EDR Analyzer」を提供します。EDR Analyzer ダッシュボードは、単純な統計を超えて検知 ・ 分析 ・ 対応の観点からユーザーが脅威を正確に認知し、条件を設定できるように構成されています。また、AhnLab EDR は疑わしい行為に関連するタイプ別情報を常時収集し、EDR Analyzer 中央サーバーに保存して顧客企業の環境に応じて行為収集レベルをオプション化し、管理を最適化して容量負担を軽減します。
2. 巧妙な脅威検知 & 分類
AhnLab EDR は、韓国国内唯一の独自の行為ベースのエンジンにより、自主的に国内外の攻撃グループを分析し、検知パターンと規則 (Rule) を作成して脅威検知に巧妙さを加えます。ユーザー定義の行為ベースの規則は、40個以上の動的 ・ 静的条件を組み合わせることができ、これに対する自動対応設定も可能です。また、脅威を MITRE ATT & CK フレームワークの戦術 (Tactic) に基づいて16種類の行為カテゴリーに分類し、ユーザーが脅威を直感的に識別できるようにします。このほか、マシンラーニング技術の適用により、脅威別の危険度とマルウェア危険確率に関する情報も提供します。
3. 専門的な分析 & 対応
AhnLab EDR は検知した脅威に対して MITRE ATT & CK フレームワークベースの脅威情報と流入経路、主要行為、関連性、危険度、脅威情報リンクなどについて詳細な分析内容を提供します。このように多様な分析情報を ▲ダイアグラム ▲プロセスツリー ▲タイムラインを通じて直感的に具現化し、ユーザーが攻撃の流れ全般を簡単に把握できるようにします。また、主要行為に対するオンデマンド (On-Demand) スキャンと AhnLab TIP および AhnLab MDS 連動による追加分析も可能です。
AhnLab EDR は、上記のような専門的な分析能力とともに、▲手動対応 ▲自動対応 ▲侵害対応の3つのコンセプトの対応機能を備えています。AhnLab EDR には、ネットワーク遮断 & 解除、ファイル削除 & 復元、プロセス終了、共有フォルダー解除など、ユーザーが直接対応できる様々な手動対応機能が搭載されています。またユーザー PC データを、被害を受ける前の状態に安全に復元する「ロールバック」機能により、ビジネス全般の回復力を高めることができます。
AhnLab EDR は、ネットワーク遮断、プロセス遮断、ファイル削除などの対応をユーザー定義の規則に従って自動的に設定できます。既知の侵害指標 (IoC) を自動的に遮断でき、IP / URL / Port や規則情報などを自動的に例外処理することができるので、運営上の柔軟性確保も可能です。このほか、アンラボのエンドポイントセキュリティプラットフォーム「AhnLab EPP」プラグイン製品を使用する場合、複数のセキュリティ製品の対応機能を連携して使用できます。ファイルの全数検査および収集、アンレポート (AhnReport)、アーティファクト (Artifacts) および Windows イベントログ収集など、侵害対応のための機能も備えています。
4. より強固にする基本サービス
顧客企業に設置された AhnLab EDR で検知されたイベントのうち、明らかに知られている脅威に対して1 / 2次レポートを提供し、毎月統計ベースのレポートまで一緒に提供し、顧客が EDR をより効果的に活用できるようにします。さらに、顧客との事前協議のもと、脅威対応も行います。
*上記の内容は、AhnLab EDR 導入時に基本的に提供されますが、EDR 検知ログを外部に送信できない場合は提供されません。
5. 脅威対応を一歩高める EDR Premium
EDR Premium は、AhnLab EDR とともに専門的な脅威検知 & 対応力を提供する「MDR (Managed Detection & Response)」サービスが結合された商品です。EDR Premium を使用する場合、アンラボの専門家が既知の脅威や疑わしい行為をモニタリング、分析および判断して能動的に対応します。
EDR Premium の背景には、長年蓄積してきたアンラボの業界随一の脅威対応力があります。EDR Premium は、顧客のエンドポイント環境で発生する脅威に対するチケット (Ticket) を発生させ、評判情報、マルウェア行為情報などを活用してアンラボ脅威対応プロセスに基づいて体系的に処理します。
この他にも、アンラボは、侵害分析サービスやマルウェア専門家の分析サービス、疑わしいシステム診断サービスなど、様々なプロフェッショナルサービスを EDR Premium と連携し、セキュリティ脅威分析および対応力向上のための様々なオプションを提供します。
*EDR Premium は有償サービスであり、サービス費用および具体的な内容については別途お問い合わせください。
6. MITRE ATT & CK 評価検証
AhnLab EDR は、直近に行われた MITRE ATT & CK Evaluation Round 4 で、攻撃グループ 「ウィザードスパイダー (Wizard Spider)」 と 「サンドワーム (Sandworm)」 が使用する最新技術を模擬遂行した 90個の攻撃ステップ (Step) で 83個を検知して 92%の検知率を記録しました。これにより、高度化した実際の脅威に対する卓越した検知力を立証しました。
