ページの本文へ

Hitachi

日立ソリューションズ Fortinet Products

ソリューション

FortiEDR

従来のEDR※1製品は、不審と疑われる挙動を検知する度にアラートを出すものが多く、担当者にとって大量のアラートの確認やその中からの重要な情報の洗い出しは大きな負担となっていました。また、情報の精査に時間がかかり初動対応が遅くなることで、被害が拡大してしまうといった課題もありました。

FortiEDRはAI技術を活用し、「感染前に止める」EPP※2と、「取得したログから感染後の調査を支援する」EDRを1つの製品でシームレスに実現するエンドポイントセキュリティ製品です。
特許取得の独自技術でカーネルモードで実行されるコードをトレース、不審な挙動を高精度にブロックします。脅威検出後は端末隔離などの対応自動化により、担当者の負荷を軽減、効率的なインシデント対応を実現します。FortiGateとの連携により、ネットワーク内の機器からのC&C通信のブロックも可能です※3

※1 Endpoint Detection and Responseの略で、侵入した脅威の調査や拡散防止など、脅威検知後の対応を支援する製品を指します。
※2 Endpoint Protection Platformの略で、マルウェアの検知および感染防止を目的とした製品を指します。
※3 FortiGateとの連携には別途FortiEDR用にサーバーを用意いただく必要があります。

特長

脅威を高精度にブロック
攻撃者は、通常のアプリケーションを装うなど攻撃であることを気づかれないよう、さまざまな手段を講じて攻撃を行い、侵入しようとします。
FortiEDRは、表面的には気づかれにくい攻撃(カーネルモードで実行されるコード)を監視し、不審な挙動を検知した場合はブロックします。ブロックまでに実行された処理の記録により、万が一攻撃された場合もそれまでの処理をロールバックすることでシステムを元の正常な状態へと復旧させることも可能です。
また、パターンファイル(シグネチャ)を利用しない検知エンジンにより、PCやネットワークへの負荷を抑えられます。
直感的に操作可能なUIでインシデント情報を一元管理
イベント(攻撃)の検知理由や、そのイベントが検知されるまでにどのような段階を経たか、イベントにどのように対応したかなどの情報を一元的に管理。発生したイベントの詳細を容易に把握することができます。
図:イベント情報一覧イメージ

図:イベント情報一覧イメージ

リアルタイムでの脅威無害化・侵害阻止により、機密情報の漏洩を防止
マルウェアなどの脅威によると疑われるような振る舞いやプロセスのフローを検知した場合は、該当のプロセスからの外部への通信やシステムへのアクセスをブロックし脅威を無害化します。これにより、ランサムウェアによるファイルの暗号化や、機密情報の流出などを防ぐことができます。
アプリケーションの可視化
外部へ通信するアプリケーションを監視し、該当するアプリケーションを確認した場合はCVSS※4などを元にした脆弱性情報と突き合わせ、脆弱性の詳細情報や評価とともに可視化します。また、重大な脆弱性をもったアプリケーションが利用されている場合は、利用デバイスの把握・注意喚起や、アプリケーションの通信をブロックすることも可能です。
(本機能は「Discover & Protect」「Discover, Protect & Respond」ライセンスでの提供となります。)

※4 Common Vulnerability Scoring System

図:アプリケーションの可視化イメージ

図:アプリケーションの可視化イメージ

インシデント対応の自動化により担当者の負荷を軽減
万が一インシデントが発生した場合も、必要なインシデント対応(該当端末の隔離、ファイルの削除、不正なプロセスの停止、ユーザーへの通知、変更された箇所の修復など)をまとめたプレイブックの実行を自動化することで、脅威への迅速な対応と担当者の負荷軽減を両立します。
図:従来のエンドポイントセキュリティ対策のプロセスとFortiEDRのカバー範囲

図:従来のエンドポイントセキュリティ対策のプロセスとFortiEDRのカバー範囲

図:プレイブックイメージ

図:プレイブックイメージ

FortiGateとの連携により外部との通信もブロック
FortiEDRとFortiGateを連携※5,6させることで、FortiEDRをインストールしていない機器・端末がマルウェアに感染した場合でもC&C通信をブロックすることができます。

※5 マルウェア(FortiEDRが検出したもの)が行うC&C通信が対象となります。
※6 FortiGateとの連携には、オンプレミスにCoreサーバーをご用意いただく必要があります。

Fortinetナレッジとの連携
検知されたイベントはクラウド上のFortinetナレッジと連携・検証されます。
検知イベントを継続的に検証することで、脅威レベルの的確な判定が可能となるため、過度な検知の防止、運用者の負担軽減を実現することができます。
図:脅威レベル判定イメージ

図:脅威レベル判定イメージ

MDRサービス for Fortinet

日立ソリューションズでは、FortiEDRの運用を支援するMDRサービスをご提供します。

<ご提供内容例>

  1. Fortinet社による24/365監視やイベント解析
  2. 当社技術者による日本語でのお客様サポート
  3. 万が一の際のインシデント対応

詳細はまでお問い合わせください。

動作環境

クライアント
OS
  1. Windows(32ビット / 64 ビット) XP SP2 / SP3、7、8、8.1、10
  2. Windows Server 2003 R2 SP2、2008 R1 SP2、2008 R2 SP2、2012、2012 R2、2016、2019
  3. macOS:Yosemite (10.10)、El Capitan (10.11)、Sierra (10.12)、High Sierra (10.13)、Mojave (10.14)、Catalina (10.15)
  4. Linux:RedHat Enterprise Linux、CentOS 6.8、6.9、6.10、7.2、7.3、7.4、7.5、7.6、7.7、Ubuntu LTS 16.04.5、16.04.6、18.04.1、18.04.2 サーバー(64 ビット)
  5. VMware および Citrixの Virtual Desktop Infrastructure(VDI)環境。
  6. サポートする VDI 環境:VMware Horizons 6 および 7、Citrix XenDesktop 7

開発元によるサポートが終了しているOSについては、ご提供できるサポート内容に制限がある場合があります。

ページの先頭へ戻る