私はとある企業で Incident Response サービスを提供しています。その中で、安全宣言発出のサポートを行うため、お客様が導入している EDR 製品のログを使って分析を行うことがあります。複数の EDR 製品のログを分析してきた経験から得た、 私が考える Incdient Response における網羅的調査のあるべき論を紹介します。 EDR はビジネス的思惑が強く働いており、過大評価されている側面があり、 EDR の有用性について本音で語られていないのではないでしょうか。そういったビジネス的側面を排除しフラットに語るため、個人ブログに記したいと思います。あくまで個人的見解であり、所属企業とは無関係ですし、特定のセキュリティ企業や製品を批判する意図はまったくありません。純粋に、世の中をより良くしたい、日本の産業を守りたいという想いのみで書いています。間違っている、議論の余地がある