EDRはどうやって不審な挙動を発見するのか？

株式会社ココナラの情報システムグループ CSIRTチームのテトロドナです。 本記事では、EDRはどのようにして敵対的な行動を見つけるのかを解説していきます。 はじめに EDRとは、EDRはEndpoint Detection and Responseの頭文字をとった語で、従来の（とはいってもEDRの概念が初めて世に出たのがすでに結構前の話ではありますが）アンチウイルスソフトウェアと異なり、各エンドポイントの詳細なログを収集・分析することで、脅威が侵入した際の被害拡大を防ぐセキュリティソリューションの総称です。 従来のセキュリティ製品との違いとしては、既知のマルウェアのシグネチャや挙動パターンをもとに検知するような静的な動作のみではなく、任意のエンドポイントにあるプロセスがどのような動きをしているのかを、機械学習や振る舞い分析を取り入れ、未知のマルウェアも含めた包括的な悪意のある行動への対策

[defiant]

わかりやすい説明でした。