攻撃者は、通常のアプリケーションを装うなど攻撃であることを気づかれないよう、さまざまな手段を講じて攻撃を行い、侵入を試みます。
FortiEDRは、特許取得のコードトレース技術によって、表面的には気づかれにくい攻撃（カーネルモードで実行されるコード）を監視します。外部との通信やファイルへの振る舞いだけでなくOSの活動までも監視することにより、不審な挙動をリアルタイムで検知・ブロックし脅威を無害化します。ブロックまでに実行された処理の記録により、万が一攻撃された場合もそれまでの処理をロールバックすることでシステムを元の正常な状態へと復旧させることも可能です。短期的な攻撃はもちろん、一定期間潜伏活動した後で侵害を開始するような攻撃に対しても有効で、ランサムウェアによるファイルの暗号化や機密情報の流出を防ぐことができます。
また、パターンファイル（シグネチャ）を利用しない検知エンジンにより、PCやネットワークへの負荷を抑えられます。

万が一ランサムウェアにファイルが暗号化された場合でも、特許技術によりファイルの復元が可能です。
ランサムウェアはファイルに感染すると、まずメモリー上でデータを暗号化し、そのファイルをディスク上に上書きすることで暗号化を完了します。FortiEDRは、ディスク上のファイルの上書きが始まった時点で「悪意があるファイル変更」として検知し、上書きが完了する前にファイルを安全なところに複製することで、暗号化される前の状態のファイルをバックアップします。その後、暗号化されたファイルのフォーマットを検証し、復元することが可能です。ランサムウェアが侵入してしまっても、業務を止めることなく遂行できます。

イベント（攻撃）の検知理由や、そのイベントが検知されるまでにどのような段階を経たか、イベントにどのように対応したかなどの情報を一元的に管理。発生したイベントの詳細を容易に把握することができます。

外部へ通信するアプリケーションを監視し、該当するアプリケーションを確認した場合はCVSS^※4などを元にした脆弱性情報と突き合わせ、脆弱性の詳細情報や評価とともに可視化します。また、重大な脆弱性をもったアプリケーションが利用されている場合は、利用デバイスの把握・注意喚起や、アプリケーションの通信をブロックすることも可能です。
（本機能は「Discover & Protect」「Discover, Protect & Respond」ライセンスでの提供となります。）

※4 Common Vulnerability Scoring System

万が一インシデントが発生した場合も、必要なインシデント対応（該当端末の隔離、ファイルの削除、不正なプロセスの停止、ユーザーへの通知、変更された箇所の修復など）をまとめたプレイブックの実行を自動化することで、脅威への迅速な対応と担当者の負荷軽減を両立します。

FortiEDRとFortiGateを連携^※5,6させることで、FortiEDRをインストールしていないIT/OT機器がマルウェアに感染した場合でもC&C通信をブロックすることができます。

※5 マルウェア（FortiEDRが検出したもの）が行うC&C通信が対象となります。

※6 FortiGateとの連携には、別途Coreサーバーをご用意いただく必要があります（オンプレミス、クラウドどちらも対応可能）。

検知されたイベントはクラウド上のFortinetナレッジと連携・検証されます。
検知イベントを継続的に検証することで、脅威レベルの的確な判定が可能となるため、過度な検知の防止、運用者の負担軽減を実現することができます。