「Microsoft Defender for Endpoint」はMicrosoft社が開発しているエンドポイントセキュリティソリューションです。
その防御範囲にはエンドポイントの保護、エンドポイントでの検出・対応、脆弱性の管理、モバイルに対する脅威への防御が含まれます。
| 販売元(国内) | 日本マイクロソフト株式会社 |
| EPP機能 | ○ |
| EDR機能 | ○ |
| 運用コスト | △ |
| オンプレミス利用 | ○ |
| Gertner EDRの口コミ評価 | 4.5 |
| MITRE ATT&CK 検知率(Visibility) | 86.78% |
| 製品ページ | こちら |
目次
特徴
主な特徴として3つ挙げられています。
- エージェントなし、クラウドで動作
追加の導入やインフラなどが不要。動作時の遅延や更新プログラムの互換性の問題もなく最新の状態を常に保つ。
- 比類なき検出力
業界トップクラスの脅威検出力とインテリジェンスを基にしつつ、それを世界レベルのセキュリティのエキスパートがサポート。
- 自動化されたセキュリティ
大規模かつ自動的に行われるセキュリティ対応は、アラートから修復までにかかる時間はわずか数分。
製品の機能
また、製品の主な機能としては以下の6つがあります。
- 脆弱性や構成のミスを迅速に検出
脅威と脆弱性の管理で、脆弱性や構成のミスをリアルタイムに検出。優先度を決定した上で修復 - エキスパートレベルの脅威監視・分析
Microsoftが誇る脅威エキスパートの知識や高度な脅威監視・分析、またサポートにより
固有の環境に潜伏する重大インシデントを検知・特定 - アラートから修復までを自動化することで、規模が大きくても短時間で対応
検知したアラートを自動的に調査、複雑な脅威の修復を短時間に完了させることが可能。
また、対処のための最善の方法や意思決定のためのアルゴリズムを活用することで、アクティブインシデントを特定し対処方法を決定 - 複雑化・巧妙化したインシデントやマルウェアも阻止
まだ検知されたことのないポリモーフィック型やメタモーフィック型などのマルウェアや
ファイルレス・ファイルベースいずれの脅威に対しても、次世代型の保護で防御 - 高度な攻撃を検出し対応するための行動監視
ゼロデイなどの高度な攻撃を、行動分析と機械学習により検出 - リスクを早期排除して攻撃面を縮小
攻撃面を縮小するための複数のテクニックにより、組織の中の脅威に対して脆弱な部分を最小化
その他の機能
その他の機能としては以下のものがあります。
- 複数のプラットフォームで確実なセキュリティ
Windows、Mac、Linux、Android、iOSに対応 - セキュリティ防御能力を迅速に評価
ソリューションの防御能力評価を数回のクリックで実施可能 - 効率化と統合のためのAPI
既存のセキュリティソリューションとの統合やセキュリティワークフローを効率化・自動化
するための豊富なAPI - エンドポイントセキュリティの管理をシンプルに
エンドポイントの構成、展開、管理を1つの画面おこなうことが可能
Gartner Magic Quadrant 2021 for Endpoint Protection Platformsでの評価(抜粋)
単一のクラウドホストコンソールとデータレイクから、EPP、EDR、および脅威ハンティング機能の統合された包括的なセットを提供。
WindowsOSのDefender Antivirusによって提供される保護と防止は、広く使用され人気がある。
2020年にOSカバレッジに投資し、重要な新しいmacOSおよびLinux保護機能を導入し、
脅威と脆弱性の管理および攻撃対象領域の削減の機能強化を開発し、AndroidおよびiOSデバイスも追加対応。
【強み】
- 今年も市場の理解と革新で高いスコアの獲得を継続
Defender for EndpointとWindows10に組み込まれている保護エンジンはどちらも、Windowsの各リリースに新しい機能を追加して包括的なセキュリティレイヤーのセットを作成する。 - macOSおよびLinuxオペレーティングシステムには、エンドポイント保護と脅威および脆弱性管理オプションが同じ管理およびレポートコンソールに統合。
- すべてのDefender製品は、共通のクラウドホストコンソール、基盤となるデータレイクおよびAPIを共有し、統合された脅威ハンティング、優れた自動化、および真のXDRプラットフォームの作成を可能にする。
- Defender 365コンソールを、すべてのDefender製品にわたる調整された防止、自動修復、および脅威ハンティングと統合。
- 新機能として、脅威インテリジェンスレポートと、製品トレーニングの検索を簡単にする学習ハブを追加。
【注意事項】
- サポートが終了したWindowsレガシーシステムのサポートを提供していないが、多くの組織がまだこれらのシステムをかなりの数所有している。従来のサポートがないため市場対応のスコアが低い。
- オンプレミスでコンソールをホストするオプションがないため、クラウドでホストされるソリューションは実用的ではない。
- MDEを提供するSKUと提供しないSKUの間には機能とコストに大きな隔たりがあり、セキュリティバンドルの外部でMicrosoft Defenderのライセンスを個別に取得することも、コストがかかる。そのため販売実行/価格設定に関するスコアが低くなった。
- (E5)のcentral Threat Experts機能は、競合ベンダーのMDRサービスと同等ではなく、脅威ハンティングの複雑さを緩和するために開発されたクエリ言語も、それ自体複雑なため要望を満たせない。
2020 Carbanak and FIN7 Evaluationの結果
| Detection Count(検出総数) The total number of detections from the evaluation:評価から検出した総数 | 274/174 |
| Analytic Coverage(分析範囲) The proportion of substeps that contained a detection that provides additional context(e.g., General,Tactic,Technique):検出のうち追加のコンテキストを含むサブステップの割合 | 93/174 |
| Telemetry Coverage(複数のセキュリティレイヤーのカバー) The proportion of substeps that produced a detection with minimal processing:最小限の処理で検出を生成したサブステップの割合 | 148/174 |
| Visibility(可視性) The proportion of substeps with either an analystic or a telemetry detection:分析またはテレメトリ検出のいずれかを使用したサブステップの割合 | 151/174 |