今年(2024)の3月に Acronis から Advanced Security + EDR が発表されましたので、ドッグフーディンで自社で適用したところ、なかなかインシデントにあわず (良いこと) 、Microsoft の Defender for Endpoint みたいな検知画面なのかなと想像を膨らましていました。
つい先日、フィッシングを防御したアラートがあったので管理画面をのぞいたところ、ついに検知の画面にありつけましたので、それを共有したいと思います!
ひとまず検知した画面!
監視 -> アラートで以下のように「インシデントが検出されました」と表示されてました。
内容をみてみると….、どうやらフィッシングサイトをブロックしたように見えます!インシデントが検出されると「インシデントを調査」というボタンを実行できるようです!実行してみます!
「インシデントを調査」を実行すると以下のようにどういう風にプロセスが作成されて通信されたかがツリー上で確認することができます。今回のケースでは chrome.exe から当該の悪意のあるリンクにアクセスがあったことがわかり、また、既に自動で対応して閉鎖済みのステータスになっていることがわかります。
ツリー上のプロセスやリンク先をクリックすると以下のように詳細な情報を確認することができます。
評価の個所でこの脅威がどのように評価されているかも確認することが可能です!
今回のインシデントは既に自動で対応してクローズされてますので対応アクションを選べませんが、false positve か true かの判断難しい場合にはアラート受信者が対応アクションを決定することが可能です。
問題があったプロセスやリンクに対してアクティビティの項目でコメントを残すことも可能です!込み入ったインシデントを調査する際には利用したいですね。
アクティビティは全体のアクティビティタブでも確認ができます。
感触
検知したプロセスの詳細やその評価、各アクティビティに対するコメント、自動で判断されなかったときに対応ができたりと EDR として利用していけるように感じました。また、Acronis Cyber Protect Cloud ではエンドポイントをバックアップしておくことでフォレンジックや業務継続のための復元に役立ちます。バックアップとエンドポイントのセキュリティを一元で管理できるのも魅力ですね。
