- 弊社yaraiおよびAMCの全体概要については、こちらの弊社製品ページをご参照ください。
- yarai/AMC v3.5.0にて、EDR機能は大幅に拡充されています。本ページでは、それ以降のバージョンをご利用いただいていることを前提とします。
EDRとは?
EDRに求められる機能
フェーズ1:脅威の「検出」
フェーズ2:脅威の「封じ込め」
フェーズ3:脅威の「調査」
フェーズ4:脅威からの「復旧」
yaraiは純国産セキュリティ製品
yarai+EDRの特徴
「EDR(Endpoint Detection and Response)」とは、組織内のマシン(Endpoint)に侵入したマルウェアやランサムウェアなどのセキュリティ的な脅威(サイバー攻撃/標的型攻撃)を検出するシステムのことを指します。
昨今の脅威の高度化/複雑化やリモートワークの普及などにより、侵入を完全に防ぐことが難しくなっています。そのため、よりアグレッシブに脅威を検出する製品/機能が重要になっています。
また、「機密情報が存在する場所」「マルウェアが実際に活動する場所」である「Endpoint」は、攻撃・防御両方の側面で最も重要なポイントとなります。
上記のような背景から、EDRには、万が一侵入された場合に備えて、侵入された脅威をよりアグレッシブに検出する機能や、事後対応(インシデント対応/インシデントレスポンス)のサポートを行う機能が求められています。
インシデントに対応するため、一般的に、EDRには「検出 → 封じ込め → 調査 → 復旧」の各フェーズに対応した機能が求められます。
弊社yaraiとAMCでは、標準でそれぞれのフェーズに対応した多数の機能があります。
※以降、「yarai」は「エンドポイント/端末を防御するクライアント」、「AMC」は「yaraiの管理コンソール」と同義とします。
例えば、以下のように、防御エンジンのリリース時点では未知の脅威を、「先読み防御」により防御した実績が多数あります。
これが実現できるのは、脅威を確認してから防御機能(パターンファイルの作成など)を実装しているのではなく、「先読み防御」を実装しているためとなります。
脅威の名称 | 発生報道時期 | 防御エンジンのリリース時期 |
---|---|---|
Emotet:2022年11月版 | 2022/11 | 2021/10 (※約1年前) |
Emotet:2022年6月版 | 2022/6 | 2021/5 (※約1年前) |
ランサムウェア:RobinHood | 2022/3 | 2019/1 (※約3年前) |
ランサムウェア:LockBit | 2022/6 | 2019/11 (※約2年前) |
ランサムウェア:Conti | 2022/2 | 2019/1 (※約3年前) |
ランサムウェア:Ragnar Locker | 2020/11 | 2018/2 (※約2年前) |
東京オリンピックに関係する日本語のファイル名をもつマルウェア | 2021/7 | 2019/1 (※約2年前) |
脅威インテリジェンスを利用した「クラウド連携機能」により、製品やエンジンのアップデートを行わずに、リアルタイムに検出精度の向上(新たな脅威やマルウェアへの対応など)が可能となります。機能の詳細については、こちらのFAQも併せてご参照ください。
また、脅威インテリジェンスを利用した「検体自動判定機能」により、検出した脅威の自動判定を行うことも可能であり、より迅速に脅威に対応することが可能となります。
端末内/組織内に潜む脅威をハンティングすることが可能です。機能の詳細については、こちらのFAQも併せてご参照ください。
また、検出したファイルの駆除や、端末をネットワークから隔離するなど、インシデント対応も可能です。
標準機能として、メール通知とsyslog通知機能のご用意があります。また、任意の外部プログラムを実行することも可能であり、外部プログラム向けのガイド資料のご用意もあります。
上述「フェーズ1:脅威の「検出」」の各機能により実現が可能です。
端末をネットワークから隔離することが可能です。
「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。
パターンマッチング型の他社ウイルス対策ソフトをご利用の場合、最新の脅威に対抗するためには、一般的にパターンファイルを最新版に更新する必要があります。
yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、管理コンソールから命令配布(シグネチャーアップデート)することが可能です。連携機能の詳細については、こちらのFAQをご参照ください。
AMCの管理コンソール画面から視覚的に確認が可能です。
■ サンプル画面1
■ サンプル画面2
検出時に自動収集され、AMCの管理コンソール画面から安全な状態でダウンロードすることが可能です。また、そのまま弊社へ脅威判定を依頼することも可能です。
「検体自動判定機能」により脅威の自動判定を行うことが可能です。機能の詳細については、こちらのFAQも併せてご参照ください。
上述の通り、自動判定することも可能ですが、別途、弊社へ手動でお問い合わせいただくことも可能です。弊社専門チームにより、解析と判定を行わせていただきます。
AMCの管理コンソール画面から収集命令の配布とダウンロードが可能です。遠隔地のトラブルシューティングなど、オンサイトでの作業が難しい場合に役立ちます。
上述「端末内/組織内に潜む脅威をハンティング」の機能により、個別の端末のみではなく、組織内に潜む脅威のハンティングも可能です。
「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。
「駆除機能」によって実現が可能です。管理コンソールからリモート駆除することも可能ですが、yaraiクライアント側の画面から駆除することも可能です。
念のため端末内に残存したマルウェアを駆除する目的などのため、yaraiでフルスキャンを実行することも可能です。管理コンソールからリモート実行することも可能ですが、yaraiクライアント側の画面から実行することも可能です。
パターンマッチング型の他社ウイルス対策ソフトをご利用の場合、最新の脅威に対抗するためには、一般的にパターンファイルを最新版に更新する必要があります。そのため、フルスキャンを実行する前に、パターンファイルを最新版に更新することが必要です。
yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、管理コンソールから両方の命令配布(シグネチャーアップデート/フルスキャン)することが可能です。連携機能の詳細については、こちらのFAQをご参照ください。
yaraiは純国産のセキュリティ製品です。研究/開発/サポートなど、製品に関するエンジニアは日本国内に常駐しています。
同居可能な製品例)Microsoft Defender、Trend Micro Apex One、ウイルスバスター、Symantec、McAfee、ESET、その他多数
※対応している製品やバージョンやエディションなどに制限がある場合や、別途同居に必要な設定や制限事項が存在する場合があります。正確な情報については、必ず事前に最新版のシステム要件をご参照ください。上記以外にも、多数の機能が存在します。詳細については、販売店までお問い合わせください。
また、各バージョンで追加された新機能については、こちらのFAQをご参照ください。