CrowdStrikeが大規模障害を引き起こしたので、そもそもCrowdStrikeって何？という人向けのメモになる。

CrowdStrikeはEDR（Endpoint Detection and Response）市場のリーダ的存在だ。

そもそも、従来のエンドポイントとEDRに違いについてわからない人は以下にまとめたというかChatGPTに聞いたので勉強するとよいね。

従来のエンドポイントセキュリティ（通常はアンチウイルスソフトウェア）とEDR（Endpoint Detection and Response）の違いについて説明します。

### 従来のエンドポイントセキュリティ

#### 主な機能

1. **シグネチャベースの検出**:
   - 既知のマルウェアやウイルスを検出するために、定義済みのシグネチャを使用します。
   - データベースに登録されたシグネチャとファイルを照合して脅威を検出。

2. **リアルタイムスキャン**:
   - ファイルがアクセスされたり実行されたりする際にスキャンを実行します。

3. **定期的なスキャン**:
   - スケジュールに基づいてシステム全体をスキャンし、潜在的な脅威を検出します。

#### 限界

- **未知の脅威に対する対応が遅い**:
  - 新たな脅威やゼロデイ攻撃を検出するには、シグネチャの更新が必要であり、タイムラグが発生します。
  
- **行動分析の欠如**:
  - 異常な行動パターンを検出する機能が限られているため、サイバー攻撃の初期段階を見逃すことがあります。

- **インシデント対応機能の欠如**:
  - 脅威を検出した後の対応が自動化されていないため、手動での対応が必要になる場合が多い。

### EDR（Endpoint Detection and Response）

#### 主な機能

1. **リアルタイム監視と検出**:
   - エンドポイント上のすべてのアクティビティをリアルタイムで監視し、異常な挙動や潜在的な脅威を検出。

2. **行動分析**:
   - 異常な行動パターンを特定するために、機械学習やAIを活用した行動分析を行います。

3. **インシデント対応と自動化**:
   - 検出された脅威に対して迅速に対応し、自動的に悪意のあるプロセスの終了やファイルの隔離を行います。

4. **脅威インテリジェンスの統合**:
   - グローバルな脅威インテリジェンスデータを活用し、最新の脅威情報を基に防御を強化。

5. **詳細なフォレンジックと可視化**:
   - 脅威の詳細な分析とインシデントの可視化を行い、攻撃の経路や影響範囲を特定。

#### メリット

- **迅速な脅威検出と対応**:
  - リアルタイムで異常な挙動を検出し、即座に対応するため、攻撃の被害を最小限に抑えることができます。
  
- **未知の脅威への対応**:
  - 行動分析とAIの活用により、未知の脅威やゼロデイ攻撃を効果的に検出。

- **自動化されたインシデントレスポンス**:
  - 脅威の検出から対応までを自動化し、迅速かつ効果的な対策を講じることが可能。

- **エンドポイントの全体的な可視化**:
  - すべてのアクティビティを詳細に記録し、インシデント発生時に迅速に調査・対応できる。

### まとめ

従来のエンドポイントセキュリティは主に既知の脅威をシグネチャベースで検出し、リアルタイムスキャンや定期スキャンを行いますが、未知の脅威やゼロデイ攻撃に対しては対応が遅れることがあります。一方、EDRはリアルタイム監視、行動分析、自動化されたインシデントレスポンス、脅威インテリジェンスの統合などの高度な機能を備えており、未知の脅威にも迅速に対応できるため、現代の複雑なサイバー攻撃に対する防御力が高いです。