NDRとEDR:主な違い
ネットワーク検知・対応(NDR)は、サイバーセキュリティツールキットにおいてますます不可欠な要素となっています。ネットワーク内部の活動を詳細に可視化し、デバイス間を流れるパケットの内容を明らかにします。一方、エンドポイント検知・対応(EDR)は、組織の各エンドポイントデバイス内で発生する個々のプロセスを明らかにすることに重点を置いています。
EDRとNDRは同様の脅威分析とプロファイリングのメカニズムを採用していますが、導入方法やユースケースは大きく異なります。この記事では、その違いを解説し、EDRとNDRがしばしば併用されるケースについても触れます。
ガートナー®マジッククアドラント™NDRソリューション
当社がチャレンジャー クアドラントに位置づけられる唯一のベンダーである理由をご覧ください...
AI を活用したセキュリティを実際に体験してください。
脅威を即座に検出する Stellar Cyber の最先端の AI をご覧ください...
NDRとは何ですか?
NDR 組織の内部ネットワーク上のデバイス間のやり取りを監視するツールです。組織のネットワーク全体にセンサーを配置し、どのデバイスがやり取りしているかを監視し、ピアや外部サーバーに送信するデータを分析します。
これはファイアウォールに似ているように聞こえるかもしれません。ファイアウォールはネットワークに出入りするトラフィック(North-Southトラフィック)を分析しますが、内部デバイス間のトラフィックは可視化できません。NDRはネットワーク内部、つまりEast-Westトラフィックを監視できるため、複雑な設定を必要とせずに、ネットワークの可視性をこれまでにないほど深化させます。
NDR システムによって収集される生データは、次のものから構成されます。
- 生のネットワークパケット: SPANポート、TAP、または専用センサーを介してネットワークトラフィックから直接キャプチャされたパケット。これらのパケットは、プロトコルヘッダーやペイロード関連のメタデータを含む、トランザクションの完全な可視性を提供します。
- フローレコード: 送信元と宛先の IP アドレス、ポート番号、プロトコル、バイト数などの通信パターンを要約した NetFlow や IPFIX などのメタデータ形式。
- 交通メタデータ: パケット分析から得られた情報には、セッション期間、通信頻度、デバイスの動作パターン、アプリケーション層プロトコルのデータが含まれます。
これらのデータはすべてNDRツール独自の分析エンジンに取り込まれ、悪意のあるトラフィックの兆候がないか処理されます。脅威検出の成功率を最大化するために、NDRは以下の2つの分析戦略を採用しています。
シグネチャベースのネットワーク分析
個々のネットワークデータポイントが時系列グラフにまとめられるため、個々のデバイスのアクティビティを既知の脅威と関連付けることができます。シグネチャベースの検出により、特定のネットワークレベルの攻撃行動が侵害指標(IoC)に統合され、NDR独自のデータベースに保存されます。
シグネチャとは、既知のサイバー攻撃に関連する識別可能な属性を指します。特定のマルウェア亜種のコードスニペットや、フィッシングメールの識別可能な件名などがこれに該当します。シグネチャベースの検出ツールは、ネットワークアクティビティをスキャンしてこれらの既知のパターンを検出し、一致するパターンが見つかった場合にアラートを発します。
IOCの監視は本質的に事後対応的なものです。IOCが検出された場合、通常は侵害が既に発生していることを示します。しかし、悪意のある活動がまだ継続している場合、IOCの早期検出は攻撃を阻止し、より迅速な封じ込めと組織への潜在的な損害の軽減に重要な役割を果たす可能性があります。
行動ネットワーク分析
シグネチャベースの検出に加え、ほとんどのNDRは行動分析も提供しています。これはすべてのデータポイントを取り込みますが、外部のリスクデータベースと静的に比較するのではなく、それらを使用して行動のベースラインを構築します。
このベースラインは通常のアクティビティを表し、デバイスとユーザーの通信頻度、データ量、プロトコルの使用状況を網羅しています。これらの想定される行動パターンを定義することで、NDRソリューションは潜在的な脅威の兆候となる可能性のある逸脱を効果的に特定できます。想定されるプロトコル動作と実際のプロトコル動作の間に矛盾が生じたり、営業時間外に異常なアプリケーションアクティビティが発生したりする可能性があります。NDRは他のセキュリティツールと統合することで、組織の通常のネットワークアクティビティをより詳細に把握することもできます。
動作ベースの脅威検出とシグネチャベースの脅威検出を組み合わせることで、NDR は完全な東西方向の可視性だけでなく、完全なネットワーク レベルの脅威検出も提供できるようになります。
EDRとは何ですか?
- プロセス実行データ: 親子関係、コマンドライン引数、実行タイムスタンプなど、実行中のすべてのプロセスの詳細。
- ファイルシステムの変更: ファイルの作成、変更、削除、整合性チェック (ファイル ハッシュとダウンロード ソースを含む)。
- レジストリの変更: システムの動作に重要な Windows レジストリ キーと構成設定の変更。
- ユーザーアカウント: 直接およびリモートでログインしたすべてのユーザーアカウント
- システム構成: インストールされているアプリケーション、サービス状態、およびセキュリティ ポリシーのコンプライアンス データ。
NDR センサーと同様に、EDR エージェントは生データを集中プラットフォームに継続的にストリーミングし、そこで機械学習モデルがそれを分析して、不正なプロセス チェーン、疑わしいネットワーク通信、既知の攻撃手法に関連するレジストリの変更などの異常を検出します。
EDRとNDR:異なるユースケース
IoTセキュリティ
NDRセンサーは多くの場合SPANポートをベースにしており、ネットワークを通過する各パケットのコピーを作成することで機能します。これらのコピーはNDRの監視ツールに転送されます。すべてのオリジナルパケットを分析エンジンに転送するのではなく、パケット情報をコピーするこのプロセスにより、ホストネットワークへの妨害を防止します。
この設定により、機密ネットワークの保護に加え、モノのインターネット(IoT)デバイスのネットワークアクティビティを追跡し、セキュリティを確保できます。IoTデバイスは、エージェントをインストールするには軽量かつ数が多すぎる場合が多く、セキュリティ上の脅威として認識されています。脆弱なパスワード、不適切なデフォルト設定、デバイス管理オプションの深刻な不足などにより、IoTデバイスのセキュリティ維持は非常に困難です。しかし、NDRツールはすべてのネットワーク通信をキャプチャするため、IoTの東西方向の挙動を監視できます。さらに、IoTデバイスとそのネットワーク全体間の不審なトラフィックを既知の脅威にマッピングできるため、平均対応時間(MTR)が大幅に短縮されます。
リモート従業員の保護
EDRは、エンドポイントで直接、継続的な監視、脅威検知、そして自動対応機能を提供します。リモートエンドポイントは必ずしも特定のネットワークや周辺機器に限定できるとは限らないため、これは特に重要です。この保護がなければ、ハイブリッド従業員がリモートデバイスを組織のネットワークに接続する際に、感染経路となるリスクがあります。
さらに、リモートデバイスでセキュリティイベントが検出されると、EDRは周囲の状況に応じて対応プレイブックを開始できます。例えば、ランサムウェアの存在を示す一連のIoCが見つかった場合、感染が拡大する前に影響を受けたデバイスを隔離することができます。
横方向の移動検出
NDR vs EDR:違いを一目で
|
機能 |
NDR |
EDR |
| 注目されるところ |
ネットワーク トラフィックと通信を監視します。 |
個々のエンドポイント デバイス (ラップトップ、サーバーなど) を監視します。 |
| データソース | ネットワーク パケット、フロー レコード (NetFlow/IPFIX)、メタデータ。 | システム ログ、ファイル アクティビティ、プロセスの動作、レジストリの変更。 |
| 可視範囲 | ネットワーク全体にわたる広範な可視性。 | デバイスレベルの詳細な可視性。 |
| 脅威の検出方法 | 異常検出、行動分析、暗号化されたトラフィックの検査。 | ファイル分析、動作監視、シグネチャベースの検出。 |
| ユースケース | 横方向の移動、コマンドアンドコントロールトラフィック、データの流出。 | マルウェア感染、内部脅威、エクスプロイトの試み。 |
| 対応能力 | アラートと統合 SIEM/SOAR; 直接的な修復は制限されています。 | 自動化された脅威の封じ込め (例: プロセスの強制終了、デバイスの分離)。 |
| 展開シナリオ | 多数のデバイスが接続されたエンタープライズ ネットワーク。 | リモートワークフォース、BYOD 環境、高リスクのエンドポイント。 |
| 展開要件 | 通常はエージェントレスで、タップや SPAN ポートなどのネットワーク センサーを使用します。 | 監視対象の各エンドポイント デバイスにエージェントがインストールされている必要があります。 |
Stellar Cyber 経由で EDR と NDR を統合
2つのツールは非常に連携して動作するため、多くの場合、一緒に導入されます。これにより、各ツールの統合機能の重要性が高まります。それぞれのツールから得られる情報によって、MTTRが大幅に短縮される可能性があるからです。Stellar Cyberは、この連携機能を、 店は開いていますXDR 製品 – あらゆる EDR と統合し、マルウェア サンドボックスと並行してディープ パケット インスペクション (DPI) を実行し、常時オンのゼロデイ マルウェア検出と防止を実現します。
店は開いていますXDR Stellarは、ネットワークレベルのアラートと、組織独自のセキュリティツールスタックによって生成されたアラートを相関させ、アクセス可能なインシデントへと導きます。アナリストのワークフローを無限のアラートで埋め尽くすのではなく、Stellarはアラートをプロアクティブに分類し、即時の対応が必要なアラートへとフィルタリングします。OpenXDR セキュリティチームにプロアクティブな対応能力を戻すことができます 今日はデモで.
