Microsoft Defender for Endpointはマイクロソフト社が提供しているクラウドベースの企業ユーザー向けEDR製品です。2016年8月にサービスを開始したWindows Defender ATPがWindows以外のプラットフォームでも利用可能なサービスに変更されたことに伴い名称もMicrosoft Defender for ATPに変更され、さらにMicrosoft Defender Advanced Threat protection そしてMicrosoft Defender for Endpointへと変更された経緯があるようです。マイクロソフトの企業ユーザー向けEDRとセンチネルワンのEDRを比較してみましょう。
MacOSやLinuxへの対応は?
マイクロソフトのEDRであるMicrosoft Defender for Endpointは、クラウドで運用される総合的なエンドポイントセキュリティソルーションです。Windows 10 Enterprise E5などサブスクリプション型の上位プランに標準搭載されているサービスとなり、その特徴としては、マイクロソフトのさまざまなセキュリティ製品と連携して総合的にシステムの監視や管理ができるということがあります。また、マイクロソフトのビッグデータや分析力をクラウド上で活用してエンドポイントのデータと組み合わせて異常な挙動を検知します。
センチネルワンは、マイクロソフトのEDR製品と比較して、センチネルワンの優位性として、あらゆるWindowsバージョン、さらにMacOSやLinuxについても最新バージョンから過去のバージョンにいたるまであらゆるオペレーティングシステムに対して同等のサポートを提供することが可能な点をあげています。マイクロソフトのEDRはWindows 10以降に提供されてきた経緯があり、MacOS版については2019年7月に、Linux版は2020年6月にリリースされて機能もアップデートされてきているようですが、すべてのパージョンには対応しておらず、またWindows向けと同等の機能が搭載されているわけではないようです。
マイクロソフトの企業ユーザー向けEDRは、クラウドベースで機能し、クラウドを介して提供されるセキュリティサービスとなります。一方、センチネルワンのEDRは、インターネット接続がなくてもエンドポイントで自律的に稼働するソフトウェアプログラムによってリアルタイムにすべてのプロセスを監視するサービスになります。このためデバイスがインターネットに接続していない時もマルウェアの脅威から保護し、エンドポイントのデータは管理コンソールに集約されます。そして1つのコンソールでEPP+EDR、クラウドワークロード保護、ネットワーク攻撃の攻撃対象領域管理を行い、OSに依存しない統一された包括的なアプローチとなっています。
顧客への個別サービスに差
マイクロソフトのEDRでは企業ユーザーに対する個別のサービスは行われておらず、セキュリティシステムの運用管理についても顧客が個別に対応する必要があるようです。また、インシデント対応についてはWindowsエンドポイントに限定されます。一方、センチネルワンの場合は、アドオンソリューションとしてVigilance MDRサービスがあり、外部に依存することなくサイバーセキュリティエキスパートに、AIを活用したSingularityプラットフォームで、顧客のセキュリティ組織の強化が可能となり、センチネル製品が確実に導入され、適切に脅威検知とインシデント対応が実行されるように支援しますから、顧客のSOCチームは重要度の高いインシデントに集中できます。
マイクロソフトは、Windows10よりWindows Defenderを標準搭載してセキュリティ機能の強化を図っており、EDRもその流れにあるようです。マイクロソフトの膨大なデータがセキュリティテクノロジーに振り向けられ、ITサービスの一環としてクラウドによるEDR製品が提供されています。一方、センチネルワンはAIによる自律型のエンドポイントセキュリティをサービスとして提供しています。ITシステムのためのサービスの一環としてEDRを提供しているマイクロソフトの場合、平易に導入できる身近さがありそうですが、センチネルワンと比較すると個別へのサービスは十分とは言えず、仕組みそのものもクラウドベースとエンドポイントの自律型という大きな違いがあります。
■参考
https://jp.sentinelone.com/vs-page/microsoft/
SentinelOneとMicrosoftの比較
| SentinelOne | Microsoft | |
| プラットフォーム機能 | Windows、macOS、Linuxの最新およびレガシーの全バージョンをサポート | Windows10+(7/8を部分的にサポート)、3バージョンのmacOS、最新のLinuxディストリビューションをサポート |
| 1つのコンソールでEPP+EDR、クラウドワークロード保護、ネットワーク攻撃の攻撃対象領域管理が可能 | Windowsのエンドポイントとサーバが中心で複数のコンソールを持つ | |
| セキュリティ体制はMicrosoftのインフラと無関係で権限昇格にほぼ影響なし | セキュリティ体制はMicrosoftに依存し、権限昇格に影響あり | |
| 異なるOS間で同等レベルの攻撃の予防・検知・修復が可能 | 異なるOSに対応しているが、最新のWindowsは非対象 | |
| AWS、Azure、GCP、プライベートクラウドを保護 | Azure重視のクラウド保護 | |
| 自動化&リカバリ | 各イベントはStorylineに自動的に攻撃経路として再構成される。アナリスト向けに焦点を絞りコンテキストかされたアラートで平均修復時間を高速化 | マニュアル作業による多くの相関分析と攻撃経路の再構成が必要 |
| 自動的にトリガーまたはワンクリックで修復とロールバック(特許取得済)が可能 | 修復にはスクリプトによるマニュアル作業が必要で、OneDriveからしか復元できない | |
| EDRの品質と対応範囲 | ファイルレスおよびランサムウェア攻撃、LotL、ポリフォーミック型マルウェアなどに対応 | ファイルベースを重視、ランサムウェアやインメモリ攻撃への対応は難しい |
| 最長365日間のEDRデータを保持 | 最長30日間のEDRデータを保持 | |
| 付加価値のあるサービス | Visilance Respond MDRとBigilance Respond Pro MDR+DFIRによる包括的なポートフォリオ | マネージドセキュリティサービスはほぼアウトソーシング、Windowsエンドポイントに限定してインシデント対応 |