EPDRを紹介してみる

2023年12月16日 02:16

この記事は「Corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#1」の16日目担当となります。
あんまり考えてなかったけど、この位置は地方フルリモ勢続いてるのね。笑
アサノニキのバトンは受け取ったぜ！！（C：アサノ）

はじめに

どうも地方フルリモ情シスのGOETANです。
鹿児島で東京の会社さんの情シス業務を行っています。
そんな私が今日は私の推しEDRであるEPDRのご紹介です。

WatchGuardについて

知名度あんまりないので知らない人も多いと思うのですが製品のメーカーであるWatchGuard社についてまず簡単に説明します。
超ざっくりと説明するとUTMであるFireboxというネットワーク機器を販売している会社さんになり、ご存じの方もいらっしゃいますが一般的にUTMとは以下の機能を持った機器になります

ファイアウォール：通信許可/拒否する機能
アンチスパム：迷惑メールを隔離(破棄)する機能
アンチウイルス：マルウェアを隔離(破棄)する機能
IDS/IPS：不正侵入検知/防御する機能
Web(URL)フィルタリング：Webサイトを閲覧制限する機能

等々

WatchGuard社はベストオブブリードという考え方を持っていて
それぞれの機能を色々なセキュリティベンダーの技術を使ってます。
餅は餅屋。幕の内弁当的な感じです。

例えば
WatchGuard APT BlockerはLastlineだったり
Botnet Detectionはproofpointだったり
IPSやApp ControlはTREND MICROだったりと
いいとこどりをした機能を一つの筐体に載せているというのが某フォーなんたらさんとの違いだったりします。

僕等情シスは色々な製品を見て自社に一番マッチしたものを選ぶと思いますが、それと同じ考え方をもっていると思ってもらえるといいかと思います。

WatchGuard Cloudについて

Watchguard社の製品は以下があります。

UTM：Firebox
IdP：AuthPoint
EDR：EPDR
WiFi：AP

WatchGuard Cloudはこれらの機器を
管理画面がとっても見やすく配置されているなぁと思ってます。
インシデントが起こった時にUTMの管理画面見てーとかIdPの画面見てとか
あっち行ったりこっち行ったりしなくても一つの画面で統合されているため
とても管理がしやすいなぁと思ってます。

ダッシュボードの例

EPDRという製品について

その中でもEPDRという製品はもともとPanda Securityという会社を
Watchguardが買収して自社に組み込んだ製品です。

EDRについては皆さんはご存じと思いますが
要はPCが怪しい動きをしたら止めるってことなのですが
その怪しい動きをEDR製品は検知まではするけど管理者が最終的に判断して止めるといったことをする場合があります。

これが一般的な中小企業だとかなりの負担にるので
EDR製品を入れただけだとマネージドサービスも同時に入れなければならなかったり運用負荷が高すぎて中小企業にはちょっと敷居が高かったりするのですがEPDRちゃんは判断して自動で止めてくれます。えらい。
マネージドサービスなしで導入できるのもメリットなのかなと個人的に思ったりします。

そしてなにより管理画面がわかりやすい。

イチ推し機能PatchManagement(オプション)

一番語りたかったとこここです。これ便利。マジで便利。ほんと便利。
大好き。ほんと大好き。ラブ。
でもオプション（有料）なのがほんと残念。涙

Chromeとかって毎月のように脆弱性出ていて脆弱性出るたびに社内通知してアップデートしてー！と連絡しているそこのアナタ！！！
なんとアップデートを自動化してくれます。
脆弱性管理ができるEDR製品は数あれど、そこを自動化してくれるのはあまりないかなと思ってます。（知る限り）

セキュリティの3C(CrowdStrike・Cybereason・Carbon Black)を使ったことないのでそんな機能あるよーとか誰か知ってる人いたら教えてください。