本記事の概要
EDRとは「Endpoint Detection and Response」の略称で、エンドポイント(コンピュータやモバイルデバイスなどのネットワークに接続された機器)でのセキュリティ対策です。
EDRはエンドポイント上での潜在的なセキュリティ脅威を検出し、それに対する迅速な対応を可能にするためのテクノロジーとプロセスです。
通常、EDRソリューションは、エンドポイント上の挙動の監視、異常な活動の検知、侵害の分析、および対応措置の実行などの機能を提供します。
これにより、組織はエンドポイントでのセキュリティインシデントにより迅速かつ効果的に対処することができます。
様々なメーカーがEDR製品を作成/販売しており、本記事はトレンドマイクロ株式会社のEDR製品を使用します。
本記事では、以下の手順を記載します。
(1) Trend MicroのEDR体験版の申し込み
(2) Trend MicroのEDRの初期設定
(3) Trend MicroのEDRのダウンロード/インストール
(4) Trend MicroのEDRの検知テスト
(5) Trend MicroのEDRの検知情報確認
(6) Trend MicroのEDRを用いたクライアント隔離
(7) Trend MicroのEDRを用いたクライアント隔離解除
※画面や記載している手順は記事を作成した時点(2024年6月8日)のものですので、画面などが変わっている可能性があります。
※詳細を確認する場合は、以下のトレンドマイクロの公式サイトをご確認ください。
https://www.trendmicro.com/ja_jp/business/tech_blog/visonone_xdr_trial_221007.html
Trend MicroのEDR体験版の申し込み
Trend MicroのEDR体験版を申し込むことで無料で30日間使用することができます。
体験版を申し込むための手順を記載します。
(1) ブラウザを起動して、「https://www.trendmicro.com/explore/jp-p003-vision-one-trial」 にアクセスします。「無料体験を始める」をクリックします。
(2) 姓名など必要な情報を入力します。
(3) 「申し込む」をクリックします。
(4) メールの件名が「Trend_Vision_One_体験版の開始手続きご案内」で以下のメールが送信されます。「利用を開始する」をクリックします。
(5) 氏名、メールアドレス、パスワードを入力して、「メールを確認」をクリックします。
(6) メールの件名が「[Trend Micro] Verify your email address (DO NOT REPLY)」で以下のメールが送信されますので、検証コードを確認します。
(7) 上記(6)で確認した検証コードを入力して、「送信」をクリックします。
(8) ビジネス名と国/地域を入力して、「登録を完了」をクリックします。
(9) 「有効化」をクリックします。
(10) リージョンは「Japan」を設定して、「Provision Console」をクリックします。
(11) Trend Vision Oneの画面が表示されたことを確認します。
Trend MicroのEDRの初期設定
Trend MicroのEDRを使用するために必要な設定をする手順を記載します。
(1) [ENDPOINT SECURITY]-[Endpoint Inventory]をクリックします。 
(2) 以下のポップアップが表示されたら、×をクリックします。
(3) 歯車マークをクリックし、「一般センサ設定」をクリックします。
(4) 以下の設定をして、「保存」をクリックします。
| 設定項目 | 設定値 |
|---|---|
| Endpoint Sensorの検出と対応 | ON |
| Advanced Risk Telemetry | ON |
(5) 歯車マークをクリックし、「グローバル設定」をクリックします。
(6) 「Endpoint Sensorコンポーネントのダウンロード時に帯域幅調整を適用」にチェックを付けて、「エージェントの最大同時ダウンロード数」の値を設定します。その後、「保存」をクリックします。
Trend MicroのEDRのダウンロード/インストール
Trend MicroのEDRのインストーラをダウンロードして、保護対象の機器へインストールするための手順を記載します。
(1) [ENDPOINT SECURITY]-[Endpoint Inventory]をクリックして、「エージェントインストーラ」をクリックします。
(2) Endpint Sensor欄のOSとOSアーキテクチャの設定をして、ダウンロードボタンをクリックします。
(3) ダウンロードしたファイルをEDRにて保護する機器に移動します。その後、ファイルを解凍し、その中にあるインストーラを実行します。
(4) 以下のポップアップが表示された場合、「はい」をクリックします。
(5) 以下のプロンプトが表示されるため、自動で閉じるまで待ちます。
(6) [ENDPOINT SECURITY]-[Endpoint Inventory]をクリックして、「すべての管理対象エンドポイント」又は「センサのみ」をクリックします。その後、インストーラをインストールした機器の情報が表示されていることを確認します。
(7) [XDR THREAT INVESTIGATION]-[Search]をクリックします。
(8) 検索のテキストボックスにEDRをインストールした機器のホスト名を入力して、「検索」をクリックします。センサー有効化後から5分ごとにデータが送信されるため、そのデータが表示されていることを確認します。
Trend MicroのEDRの検知テスト
正常にEDRが動作しているか確認するために検知テストを実施する手順を記載します。
(1) 下部のアイコンをクリックして「Simulations」をクリックします。 
(2) 「Workbench」をクリックします。
(3) [シミュレーションを試す]-[エンドポイント攻撃のシナリオ]をクリックします。
(4) 「デモスクリプトのダウンロード」をクリックします。また、ファイル解凍時に必要なためパスワードをメモなどに残します。
(5) 上記(4)で確認したパスワードを用いてダウンロードしたファイルを解凍します。その中にあるT1003_Demo_Script.batを実行します。
(6) 「#Type 1,2 or X, and press ENTER」が表示されたら、「1」を入力し[Enter]を押します。
(7) 「続行するには何かキーを押して下さい…」が表示されたら、[Enter]を押します。
(8) 「#Type 1,2 or X, and press ENTER」が表示されたら、「2」を入力し[Enter]を押します。
(9) 「続行するには何かキーを押して下さい…」が表示されたら、[Enter]を押します。
(10) 「#Type 1,2 or X, and press ENTER」が表示されたら、「X」を入力し[Enter]を押します。
Trend MicroのEDRの検知情報確認
Trend MicroのEDRにて検知された情報を確認するための手順を記載します。
(1) [XDR THREAT INVESTIGATION]-[Workbench]をクリックします。 
(2) 検知されたアラート表示されるため、「モデル名」をクリックします。
(3) 検知情報を確認することはができます。
(4) 人間のアイコンをクリックすると、どのユーザーで検知されたか確認できます。
(5) ハイライト欄の「イベントを表示」をクリックします。
(6) 検知された情報の詳細を確認できます。
Trend MicroのEDRを用いたクライアント隔離
Trend MicroのEDRにて検知されてウイルス感染した場合、感染した機器の隔離してネットワークに接続させないようにして、他の機器へウイルス感染拡大しないような対応を推奨します。
EDRにて検知された機器をネットワークから隔離するための手順を記載します。
(1) [XDR THREAT INVESTIGATION]-[Workbench]をクリックします。
(2) 隔離する機器で検出されたアラートの「モデル名」をクリックします。
(3) PCのアイコンを右クリックで選択し、「エンドポイントの隔離」をクリックします。
(4) 必要に応じて説明欄を入力します。その後、「作成」をクリックします。
(5) タスクが作成された旨のポップアップが表示されることを確認します。
(6) 隔離した機器のデスクトップ右部にて「ネットワーク接続無効」のポップアップが表示されます。
Trend MicroのEDRを用いたクライアント隔離解除
Trend MicroのEDRにて隔離した機器を調査し、ウイルス感染が誤検知であると判断した場合にネットワーク接続できるようにしないと機器を使用できません。
そのため、隔離を解除してネットワーク接続できるようにする手順を記載します。
(1) [WORKFLOW AND AUTOMATION]-[Response Management]をクリックします。その後、隔離を解除したいタスクがあることを確認します。
(2) 隔離を解除したいタスクの横にある「︙」をクリックして、「接続の復元」をクリックします。
(3) 必要に応じて説明欄を入力します。その後、「作成」をクリックします。
(4) タスクが作成された旨のポップアップが表示されることを確認します。
(5) 隔離を解除した機器のデスクトップ右部にて「ネットワーク接続が有効」のポップアップが表示されます。
