ほにゃららDRを考える！

ほにゃららDRって、EDR、NDRとかですね。XDRは、Paloaltoが使った俗語が、一般的に使われるようになったんですよね。Detection and Responseは、脅威の検知と対応ってのが近い意味ですかね。で、脅威の検知が静的解析じゃなく、挙動を見て判断するんですよ。なので、動かないものは見つけないですよ

それぞれの分野

EDRは、名前の通りEndpoint Detection and Response。NDRは、Network Detection and Responseです。端末デバイスの挙動やネットワークに流れる通信の挙動で検知しまっせ！
ちなみに、XDRは、Extended Detection and Response。Extendedの意味の通り拡大された挙動や状態をみてなので、端末やネットワークに限らず、メールやクラウド様々な環境をみて検知するってことでSIEMに近いね。

EPPとの違い

EPPって、かっこよくいってるけど、ウィルス対策ソフトでいいよ。昔からあるパターンファイルで検索して検知するやつ。多機能になってるから一概にそれ！って、なかなかいえないげど、そんな違いで理解しておけばいいんちゃう？

挙動って何見てるの？

どこに通信しようとしてるか、どのファイルやレジストリを書き換えようとしてるか、ウィルスに感染したり、変なプログラムが動いてると、だいたい同じような事をするので気づくとか、普段やんない動作に気づくってこと。
誤検知もあるけど、警察も職務質問するやん。あんな感じだよ

できる事

対処といっても、基本インシデントの処理の流れで、検知→封じ込め→復旧において、EDRなら検知と封じ込め、NDRは検知くらい。勘違いしちゃだめなのは、侵入の防御じゃなく、侵入されたあとの被害の極少化ですよ。
侵入の防御は他でやってよね。

ではでは。