製品資料
トレンドマイクロ株式会社
感染端末の見逃しは本当にないのか? 「インシデント終息」を証明する方法
不正プログラムの感染によるインシデントを終息させるには、顕在化した端末の特定/対処だけでは不十分だ。ネットワーク内の感染範囲を特定し、潜在的な脅威まで検証する方法として、「EDR」と「監視センサー」の連携術を紹介する。
要約
不正プログラムの感染によるインシデントが発生した場合、顕在化している感染端末への対処は最優先で行われる。しかし、攻撃手法が高度化した現在、サービスの復旧後も社内ネットワーク上に感染端末が残されている可能性に不安を覚えないセキュリティ担当者は少ないだろう。
そこで、「脅威の排除」を証明する方法として採用が進んでいるのが、「EDR(Endpoint Detection and Response)」だ。EDRは、社内環境における感染経路および範囲を特定し、既に把握されている感染端末以外にも脅威が潜んでいないかを検証することでインシデントを終息に導く。
このWebキャストでは、監視センサーと連携したEDR製品が、C&Cサーバなどへの不正通信を行うプロセスを検出し、そのプロセスのつながりから潜在的な感染範囲を探り出す様子を実際の操作画面で紹介する。高度な標的型攻撃によるインシデントが発生した場合でも、自信を持って“終息宣言”を出せる理由をぜひ確認してもらいたい。