【エンドポイントSECURITY】被害拡大を防ぐ仕組と運用

【エンドポイントSECURITY】被害を最小限に抑える運用

Webサーバーと同様に重要な情報資産が蓄積されるPC端末（エンドポイント）は、マルウェアをはじめとするサイバー攻撃の対象になります。マルウェアに感染した場合、端末に被害があるだけでなく、攻撃の踏み台にされ被害が拡大します。

社内への被害拡大を防ぐためには、エンドポイントへの攻撃を早期に検知し対処する必要があり、エンドポイントセキュリティ運用（MDR：Managed Detection and Response）が欠かせません。本メールではMDRの代表、Microsoft「Defender for Endpoint」についてご紹介致します。

【MDR】Microsoft「Defender for Endpoint」の仕組とは

Microsoft「Defender for Endpoint」では、①PC端末（エンドポイント）で取得できるWindowsの詳細なログと②Microsoft社ならではのWindowsに対する深い分析データを掛け合わせることで③企業のテナントで脅威の可視化～分析～対処を統合的に行うことができます。

【資料アリ】「Defender for Endpoint」運用ポイントと準備

セキュリティ製品は導入しただけではその効果を発揮できません。継続的に効果を発揮するためには適切な運用が必要となります。なお、弊社では「Defender for Endpoint」の導入から運用までワンストップでご支援致します。

＜エンドポイントセキュリティ運用＞
①イベント確認・検知
トリアージ分析と重要度の判定
②インシデント分析
「影響範囲の特定」「侵⼊経路の特定」「情報漏洩の痕跡」「攻撃手法の特定」
③インシデント対応に向けた改善
ポリシーチューニングや⼈員増強
④インシデント対処
「短期的な対処（マルウェア削除・データ復旧・感染端末リプレース）」と「中・⻑期的な対処（社内ポリシー更新改正・ネットワーク再設計）」

＜運用に欠かせない準備＞
①イベントの整理
誤検知・過検知の整理を行うことで必要なアラートをチェックできるようにする。
②アラートの優先順位付と初期対応
緊急性の度合いに応じた優先順位付や、緊急時の体制および対処方法を定め、円滑な初期対応を実現する。
③インシデント対処～報告
インシデントの終息はもちろんのこと、関係者への報告や、運用手順・体制の見直しを実施する。