「KEDR」は、エンドポイントへの高度な攻撃の兆候をいち早く検知・分析して影響範囲を把握し、速やかな対応の実行をサポートする製品。「KEDR」により、セキュリティ侵害の拡大を防止し、ビジネスへの影響を最小限にとどめることが可能になるという。
「Kaspersky Endpoint Detection and Response」の特徴
1. エンドポイントの動作情報の可視化と高度な分析
エンドポイントから収集した動作情報を、機械学習を用いた標的型攻撃アナライザー、アンチマルウェアエンジンやアドバンスドサンドボックスなど、複数の高度な検知技術で分析。管理者はWeb管理コンソールを利用して、不審なふるまいをするオブジェクトの把握と調査、影響範囲を特定することができ、速やかなインシデントへの対応が可能になる。
「KEDR」は、エンドポイントの動作情報を収集する「エンドポイントセンサー」、収集した情報を分析する「セントラルノード」、さらに高度な分析を実行する「アドバンスドサンドボックス」の3つのコンポーネントで構成される。
・エンドポイントセンサー:エンドポイントに常駐し、ファイルの操作やネットワーク接続、各種プロセス、レジストリ情報やWindowsイベントログなどの動作情報を収集し、セントラルノードへ転送。収集した情報の分析はセントラルノードで実行するため、エンドポイントへの負荷を抑えることができる。
・セントラルノード:エンドポイントセンサーから収集したエンドポイントの動作情報を、機械学習を搭載した標的型攻撃アナライザー、アンチマルウェアエンジンを含む複数の技術と、クラウドベースの脅威情報基盤「Kaspersky Security Network(KSN)」から提供される情報を組み合わせて詳細に分析する。管理者はWeb管理コンソールを通じて、分析結果やインシデント情報を一元的に確認できる。さらに、APTレポートサービスに含まれるIOC(Indicators of Compromise)を利用した分析や、脅威情報ルックアップサービスで提供するハッシュ値や不審なURLなどの検索もシームレスに実行でき、脅威をより詳しく調査することが可能。
標的型攻撃アナライザー:機械学習を利用し、エンドポイントセンサーから収集した情報に基づいて、平常時のエンドポイントのプロセスを継続的に学習。学習したものと比較して、不審なふるまいがエンドポイントであった場合はインシデントとして検知する。KSNから配信される新しい学習ロジックを常に反映し、新しい脅威にも対応する。
・アドバンスドサンドボックス:セントラルノードで不審なオブジェクトと判断した場合は、そのオブジェクトを自動的にアドバンスドサンドボックスに送信し、仮想環境上で動的解析を行う。これにより、未知のマルウェアを検知することができる。キーボードやマウスなどのIOをチェックする、しばらく待機しタイムアウトを待つといった、サンドボックス回避機能を持つマルウェアにも対応し、最新の回避手法に対応するためのモジュールを随時更新する。
2. 直観的な操作が可能なWeb管理コンソール
Webブラウザベースの管理コンソールは、セントラルノードおよびアドバンスドサンドボックスで分析した情報をわかりやすくグラフィカルに表示する。単一の管理コンソールに脅威の検知の情報が集約されるため、一元的に状況を把握できる。プルダウンメニューから、調査の実施、脅威の拡大の防止措置の実行、レポート作成などを統合的に行うことができる。
3. エンドポイントセキュリティ製品と統合されたEDRエージェント
法人向けエンドポイントセキュリティ製品「Kaspersky Endpoint Security 11 for Windows」に搭載されているエージェントを、「KEDR」のエンドポイントセンサーとして利用できる。Kaspersky Endpoint Security 11 for Windowsを既に利用している場合は、「EDR」専用のエージェントを端末に追加導入する必要がない。
4. EDRソリューションをオンプレミスで構築可能
「KEDR」のエンドポイントセンサー、セントラルノードおよびアドバンスドサンドボックスは、オンプレミスの環境ですべて構築することができる。コンプライアンス上のルールなどで外部への情報の送信に制限がある企業、組織においても、EDRソリューションを展開することが可能。
