FortiEDR

サイバー攻撃が巧妙化するなか、重要となるのが被害の拡大を防止するためのリアルタイムでの対処です。
しかし、従来のEDR※1製品では不審と疑われる挙動の「検知」を中心としており、脅威への対処が検知内容の精査後に手動で実施となるため、リアルタイムでの対応が困難でした。また、検知内容を確認する際には、大量のアラートから重要な情報を洗い出す必要があり、担当者にとって大きな負担となるだけでなく、情報の精査に時間を要し初動対応が遅くなることで、被害が拡大してしまうといった課題もありました。

FortiEDRは、AI技術を活用し「感染前に止める」EPP※2と、リアルタイムで「脅威のブロック・無害化・復元」までを自動で行うEDRを1つの製品でシームレスに実現するエンドポイントセキュリティ製品です。
特許取得の独自技術でカーネルモードで実行されるコードをトレース、不審な挙動を高精度にブロックし無害化します。脅威検出後は端末隔離などの対応自動化により、担当者の負荷を軽減します。万が一ランサムウェアにファイルが暗号化された場合でも、独自技術により復元するなど、効率的なインシデント対応をリアルタイムで実現します。FortiGateとの連携により、ネットワーク内の機器からのC&C通信のブロックも可能です※3

図:従来のEDR製品 図:FortiEDR

※1 Endpoint Detection and Responseの略で、侵入した脅威の調査や拡散防止など、脅威検知後の対応を支援する製品を指します。

※2 Endpoint Protection Platformの略で、マルウェアの検知および感染防止を目的とした製品を指します。

※3 FortiGateとの連携には別途FortiEDR用にサーバーを用意いただく必要があります。

特長

リアルタイムで高精度に脅威をブロック・無害化し機密情報の漏洩を防止

攻撃者は、通常のアプリケーションを装うなど攻撃であることを気づかれないよう、さまざまな手段を講じて攻撃を行い、侵入を試みます。
FortiEDRは、特許取得のコードトレース技術によって、表面的には気づかれにくい攻撃(カーネルモードで実行されるコード)を監視します。外部との通信やファイルへの振る舞いだけでなくOSの活動までも監視することにより、不審な挙動をリアルタイムで検知・ブロックし脅威を無害化します。ブロックまでに実行された処理の記録により、万が一攻撃された場合もそれまでの処理をロールバックすることでシステムを元の正常な状態へと復旧させることも可能です。短期的な攻撃はもちろん、一定期間潜伏活動した後で侵害を開始するような攻撃に対しても有効で、ランサムウェアによるファイルの暗号化や機密情報の流出を防ぐことができます。
また、パターンファイル(シグネチャ)を利用しない検知エンジンにより、PCやネットワークへの負荷を抑えられます。

ランサムウェアに暗号化されたファイルを復元可能

万が一ランサムウェアにファイルが暗号化された場合でも、特許技術によりファイルの復元が可能です。
ランサムウェアはファイルに感染すると、まずメモリー上でデータを暗号化し、そのファイルをディスク上に上書きすることで暗号化を完了します。FortiEDRは、ディスク上のファイルの上書きが始まった時点で「悪意があるファイル変更」として検知し、上書きが完了する前にファイルを安全なところに複製することで、暗号化される前の状態のファイルをバックアップします。その後、暗号化されたファイルのフォーマットを検証し、復元することが可能です。ランサムウェアが侵入してしまっても、業務を止めることなく遂行できます。

図:ランサムウェアに暗号化されたファイルの復元イメージ

図:ランサムウェアに暗号化されたファイルの復元イメージ

直感的に操作可能なUIでインシデント情報を一元管理

イベント(攻撃)の検知理由や、そのイベントが検知されるまでにどのような段階を経たか、イベントにどのように対応したかなどの情報を一元的に管理。発生したイベントの詳細を容易に把握することができます。

図:イベント情報一覧イメージ

図:イベント情報一覧イメージ

アプリケーションの可視化

外部へ通信するアプリケーションを監視し、該当するアプリケーションを確認した場合はCVSS※4などを元にした脆弱性情報と突き合わせ、脆弱性の詳細情報や評価とともに可視化します。また、重大な脆弱性をもったアプリケーションが利用されている場合は、利用デバイスの把握・注意喚起や、アプリケーションの通信をブロックすることも可能です。
(本機能は「Discover & Protect」「Discover, Protect & Respond」ライセンスでの提供となります。)

※4 Common Vulnerability Scoring System

図:アプリケーションの可視化イメージ

図:アプリケーションの可視化イメージ

インシデント対応の自動化により担当者の負荷を軽減

万が一インシデントが発生した場合も、必要なインシデント対応(該当端末の隔離、ファイルの削除、不正なプロセスの停止、ユーザーへの通知、変更された箇所の修復など)をまとめたプレイブックの実行を自動化することで、脅威への迅速な対応と担当者の負荷軽減を両立します。

図:従来のエンドポイントセキュリティ対策のプロセスとFortiEDRのカバー範囲

図:従来のエンドポイントセキュリティ対策のプロセスとFortiEDRのカバー範囲

図:プレイブックイメージ

図:プレイブックイメージ

FortiGateとの連携により外部との通信もブロック

FortiEDRとFortiGateを連携※5,6させることで、FortiEDRをインストールしていないIT/OT機器がマルウェアに感染した場合でもC&C通信をブロックすることができます。

※5 マルウェア(FortiEDRが検出したもの)が行うC&C通信が対象となります。

※6 FortiGateとの連携には、別途Coreサーバーをご用意いただく必要があります(オンプレミス、クラウドどちらも対応可能)。

Fortinetナレッジとの連携

検知されたイベントはクラウド上のFortinetナレッジと連携・検証されます。
検知イベントを継続的に検証することで、脅威レベルの的確な判定が可能となるため、過度な検知の防止、運用者の負担軽減を実現することができます。

図:脅威レベル判定イメージ

図:脅威レベル判定イメージ

MDRサービス for Fortinet

日立ソリューションズでは、FortiEDRの運用を支援するMDRサービスをご提供します。

<ご提供内容例>

  • Fortinet社による24/365監視やイベント解析
  • 当社技術者による日本語でのお客さまサポート
  • 万が一の際のインシデント対応

動作環境

クライアント
OS
  • Windows(32ビット / 64 ビット) XP SP2 / SP3、7、8、8.1、10
  • Windows Server 2003 R2 SP2、2008 R1 SP2、2008 R2 SP2、2012、2012 R2、2016、2019
  • macOS:Yosemite(10.10)、El Capitan(10.11)、Sierra(10.12)、High Sierra(10.13)、Mojave(10.14)、Catalina(10.15)
  • Linux:RedHat Enterprise Linux、CentOS 6.8、6.9、6.10、7.2、7.3、7.4、7.5、7.6、7.7、Ubuntu LTS 16.04.5、16.04.6、18.04.1、18.04.2 サーバー(64 ビット)
  • VMware および Citrixの Virtual Desktop Infrastructure(VDI)環境。
  • サポートする VDI 環境:VMware Horizons 6 および 7、Citrix XenDesktop 7

開発元によるサポートが終了しているOSについては、ご提供できるサポート内容に制限がある場合があります。

Fortinetソリューション コンテンツ一覧

関連商品・キーワード