すべてのWithSecure™ Elements製品を管理するための管理ポータル「Elements Security Center ↗」にアクセスするには、WithSecure™ Business Accountが必要です。
WithSecureのパートナーからご購入いただいた場合、通常、パートナーが最初の管理者アカウントを作成し、一時的なパスワードを記載したメールをお送りします。アカウントがまだ作成されていないが、サブスクリプションキーをお持ちの場合は、elements.withsecure.com/self-register ↗にアクセスしてアカウントを作成してください。
Elements EDRは、監視対象の各デバイスに軽量なセンサーをインストールすることで機能します。このセンサーは、ファイルへのアクセス、プロセスの作成、ネットワーク接続、レジストリの変更といった動作イベントデータを収集し、分析のためにバックエンドに送信します。
導入の前に
検出範囲を最大限に広げるためには、インストール前に対象デバイスで以下の推奨事項を適用してください:
- Windows:セキュリティログイベントが生成されるよう、Windows の監査ポリシーが設定されていることを確認してください。また、PowerShell ScriptBlock のログ記録が無効になっていないことも確認してください。これを無効にすると、検知機能が制限されます。
- Linux:最高のパフォーマンスを得るには、カーネル 5.10 以降を使用してください。カーネル 3.16 以前を使用する場合は、
auditdがインストールされ、正しく設定されていることを確認してください。
センサーを取り付ける
Elements EDRは、Windows(ワークステーションおよびサーバー)、Mac、Linuxに対応しています。ご使用の環境に合わせて、適切な方法をお選びください:
- メールによる招待— 少数のデバイスに適しています。「環境」> 「デバイス」に移動し、「デバイス」の横にある3つのドットのアイコンを選択して、「新しいデバイスを追加」を選び、ウィザードの指示に従ってユーザーにダウンロードリンクを送信してください。
- インストーラーをダウンロードしてください— 大規模な導入に適しています。サイドバーの「ダウンロード」に移動し、お使いのプラットフォームに対応したパッケージ(Windowsの場合はEXEまたはMSI、Macの場合はMPKG、Linuxの場合はDEB/RPM/tar)を選択し、サブスクリプションキーを選択してダウンロードしてください。キーはインストーラーに組み込まれています。
センサーの設置が完了したら、テスト用の「Broad Context Detection」を実行して、正常に動作していることを確認してください。通常のユーザーは `whoami ` コマンドを実行しないため、このテストでは確実に検出結果が得られます。
- センサーがインストールされている監視対象のエンドポイントにログインしてください。
- コマンドプロンプトを開き、次のコマンドを実行します:whoami
exitを実行してプロンプトを閉じ、エンドポイントからログアウトしてください。- Elements Security Center で、[イベント]> [Broad Context Detection] の順に選択します。数分以内に検出結果が表示されるはずです。
実際の検知が発生したとき
各検出結果には、優先順位付けの参考となるリスクレベルスコア、信頼度、重要度が表示されます。検出結果を選択すると、プロセスツリー、ログビュー、関連イベントを確認できます。そこから、ホストをネットワークから隔離するなどの対応措置を講じたり、「Elevate to WithSecure」機能を使用してWithSecureの専門家にケースをエスカレーションしたりすることができます。
ヒント:PowerShell を使用した高度なテストについては、『Elements EDR ユーザーガイド』の付録 A を参照してください。
ユーザーガイド — Elements Endpoint Detection and Response
導入方法、調査ワークフロー、対応措置、ベストプラクティスなどを網羅した完全なドキュメント
WithSecure Community
製品の発表や変更履歴の最新情報を入手したり、質問への回答を得たり、製品に関するアイデアを共有したりしましょう
ナレッジベース
センサーの展開、Broad Context Detection、対応措置、およびホストの隔離に関するトラブルシューティングおよび操作ガイド記事