セキュリティの専門知識を持った人的リソースが確保できない、もしくは習得過程のお客様でもカスペルスキーのアンチウイルスソフトとセットでご利用できるシンプルなEDRソリューションです。
EDRとは?
侵入されることを前提とし、侵入後、如何に早く影響範囲を特定し被害を最小限に食いとどめるためのソリューション
- エンドポイントの動作を監視・記録
- 不審な挙動、脅威となるオブジェクトの検出
- 記録したログから過去を調査/解析
- 対象のエンドポイント/他のエンドポイントへの対応
攻撃を未然に防ぐ製品ではありません。
Kaspersky EDR Optimumでできること
詳細な分析・調査と全体像の把握
(例)KESのふるまい検知で、ブロックしただけの場合
- 不正プログラムの動作をブロック駆除・削除を行う
- ファイルやレジストリの改ざんなど、不正アクションをロールバック(修復動作)
■Kaspersky EDR Optimumが導入されると・・・
- 不正プログラムがどこ(何)から起動されたかを確認
- 対象端末をネットワークから隔離(Isolation)
- 同一の不正プログラムが他のPCに存在していないかスキャンを実行(IoCスキャン)
- 他のPCで発見された場合、対象プログラムの隔離とPCのネットワーク隔離
Kaspersky EDR Optimum における
インシデント対応プロセス
組織体制と導入の目的
セキュリティ専門家の不足
- IT部の中にセキュリティ対応機能がある
- 遠隔地にオフィスがあり、そこにはセキュリティ専門人員はいない
防御ができていれば、調査、分析、解析までは必要ない。
専門知識の習得過程
- IT部の中にセキュリティ部門がある
- 小規模なセキュリティ部がある
- セキュリティ人員を追加採用する予定はない
インシデント発生時に、必要な調査、分析が行えれば良い。
確立したセキュリティ対策
- 十分な人員を持つセキュリティ部門がある
- SOC/CERT/CSIRT
- 脅威ハンティンググループがある
端末の様々な情報を常に監視し、あらゆるセキュリティリスクの可能性を事前に把握したい。
Kaspersky EDR Optimum” と
“Kaspersky EDR Expert” の違い
Kaspersky EDR Optimum
ITセキュリティの人的リソースが不足している組織向け
- 優れたエンドポイント
- 保護セキュリティ
- 製品と統合されたEDR
- KESの検知イベントを対象
- KESで使用するエージェントと管理サーバーを利用
共通した機能
- 可視化
- 攻撃拡散経路の明確化
- 脅威の証拠の発見
- 高度な脅威インテリジェンスの活用
- 広範囲な対応のアクション
Kaspersky EDR Expert
専門知識と人材を有する組織向け
- スタンドアロンの強力なEDRツール
- Windowsイベントログなど、エンドポイントのあらゆる情報を対象
- 専用の解析サーバーを設置、他社アンチウイルスと共存可能
ライセンス別機能一覧
ライセンス別機能 | Kaspersky Endpoint Security for Business | Kaspersky EDR Optimum Bundle | |
---|---|---|---|
Select | Advanced | ||
セキュリティの基本的な機能 | |||
ファイル脅威対策, Web脅威対策、メール脅威対策、ファイアウォール | |||
ふるまい検知, エクスプロイト防止、修復機能 | |||
Webコントロール, デバイスコントロール、アプリケーションコントロール | |||
脆弱性スキャン | |||
高度なセキュリティの機能 | |||
SIEMとの連携 | (Syslogのみ) | ||
暗号化管理 | ー | ||
アダプティブアノマリーコントロール | ー | ||
パッチ管理、システム管理 | ー | ||
サーバー向けアプリケーションコントロール | ー | ||
EDR機能 | |||
エンドポイント全体にわたる可視化 | Kaspersky EDR Optimum Add on |
||
根本原因分析/攻撃チェーンの視覚化 | |||
集約化した IoC検索 | |||
インシデント対応のアクションの実行 |