公開日
2022年12月8日
Cloud One Workload Security™ のXDR機能を利用しよう! #1 XDRの概要説明
こんにちは。
サーバセキュリティ製品 ソリューションアーキテクトの齊です。
今回ブログはXDR機能を利用しようシリーズの第1回として、トレンドマイクロが提供するXDRをご紹介します!
本ブログで、XDRの概念およびXDRで実現できることをご理解いただければと思います。
XDRとは
昨今の脅威の巧妙化やデジタル環境の変化により、攻撃を防ぐためEPP製品だけでなく、
侵入を前提にしてインシデント対応を講じるセキュリティ対策がますます重要になっています。
そうした中で、高度な攻撃の脅威に対して現在ではXDR(Extended Detection and Response)の必要性が高まっています。
XDRは一体どのような概念なのか、ご紹介したいと思います。
XDRはエンドポイントにおける検知と対応を他のセキュリティレイヤーに拡張した概念です。
レイヤーを横断して行われる検知と対応で、攻撃の全体像を可視化し、対応を行えるようにします。
Trend MicroのXDRはエンドポイント、サーバ、ネットワークなど、製品を横断して脅威検知と対応を提供するソリューションとなります。
XDRを利用する必要性・メリット
近年、EDR機能製品を導入し、エンドポイントで保護機能を実行していくことが求められていますが、
しかし、単に製品を導入するだけでは、脅威や攻撃の検知しか実現できず、膨大なデータの管理、インシデント発生時の対処など運用負担は依然として大きいと思われます。
このような運用負担を削減するため、XDRが必要となります。
Trend MicroのXDRを利用することで、主に以下4つの効果が期待できます。
・脅威の早期検出と可視化・一元的なリスクの把握
・脅威分析能力の強化・対処すべきイベントの優先順位付け向上
・脅威検出から調査・封じ込めまでの対応時間の短縮・残存リスクの低減
・セキュリティライフサイクル管理・運用プロセスの省力化・効率化
これらにより、脅威の検知を迅速化し、セキュリティアナリストは調査と対応にかかる時間を向上させることができます。
Trend MicroのXDRで使える機能
XDRではどのような機能を利用できるか、コンソール画面で一緒に見てみましょう。
1.Detection Model Management
アクティビティデータから攻撃の痕跡を検知するモデルの一覧表示、管理できます。
・Model:1つのモデルは機械学習、データスタックなどビックデータ解析技術を統合し、複数のルールで構成され、それぞれのルールは複数のフィルタを含みます。
・Description:単独もしくは複数のセキュリティレイヤーでイベントや振る舞い、アクションを相互に関連けます。
2.Detection Model(検知モデル)
検知モデルにおいて、相関分析による検知のサマリーが表示されます。
膨大なアラートが日々蓄積される中、それを人が分析し、重要なイベントを見つけ出すのは困難です。XDRでは、SAE(Security Analytics Engine)を用いて攻撃事象をモデル化しています。
モデルで検出されたイベント情報にフォーカスすることで、より的確な予防対策を実現できるようにします。
3.Workbench
WorkbenchではSAE、Detection Modelによって検知した脅威イベントのアラートを表示し、影響範囲の把握やSeverityに基づいた優先度付けを行います。
また、各脅威イベントに対する状況調査を行うことができます。
4.Observed Attack Techniques
関連したエンドポイントで検知されたフィルタ毎のアクティビティデータを詳細に確認できます。
5.Search
SearchではXDRで収集したアクティビティデータと、連携している各プロダクトの検知情報に対して検索をかけることで、関連したエンドポイントやメール情報を表示します。
検索方法としてGeneralかAdvancedを指定できます。
General:すべてのアクティビティデータから検索します。
Advanced:Endpoint / Message / Networkのいずれかのアクティビティデータもしくは検知ログから検索します。
なお、指定したアクティビティデータのフィードと値などの情報を元に検索を行えます。
Cloud One Workload Security™との関係性
サーバセキュリティ製品、Cloud One Workload Security™を利用するユーザは、XDRと連携すれば、事前の予防としての機能だけでなく、
万が一攻撃に侵入を許してしまっても、すぐに発見できる仕組みを実現できます。
XDRは「発見的な対策」の中でも被害状況と影響範囲を調査することが特に効果的です。
ここで、標的型攻撃で狙われやすい各サーバでのXDRの対策について、ご紹介します。
| 攻撃される理由 | XDRによる効果 | |
|---|---|---|
| Webサーバ | 脆弱性を悪用し、初期潜入として利用される | ・初期潜入した後、攻撃を展開しているない部分端末の特定 ・攻撃の早期発見による被害の最小化を実現 |
| ADサーバ | 標的型攻撃においてアクセス権限を奪取し他のサーバやクライアント端末へアクセスする | ・ADサーバのアカウント情報の権限奪取を検知 ・また、ADサーバがどの端末にアクセスしているかを把握 |
| ファイルサーバ | 大量かつ重要なデータが保存されている可能性が高く、ランサムウェアによる攻撃を受けやすい | ・どのようにファイルが暗号化されたのか ・どのファイルが暗号化されているかを把握することが可能 |
さいごに
いかがでしたでしょうか?
このブログを通して、XDRの基本、XDRで実現できることをご理解いただけかと思います。
侵入後の発見的なセキュリティ対策を検討される際、EPP製品と同時にXDRのご利用を視野に入れてみて下さい。
XDR機能を利用しようブログシリーズは計4回用意しております。
第2回ではCloud One Workload SecurityとXDRの連携方法を紹介します。
「Cloud One Workload Security™のXDR機能を利用しよう! #2 XDR導入手順解説」
そちらも併せてご覧いただければ幸いです。
また、XDR機能をご利用いただく前段階として、Cloud Oneをご利用いただくための30日間の無料トライアルで体験いただくことも可能となります。
無料トライアルのご利用方法につきましては以下をご覧ください。
本ブログシリーズでは、皆さんがCloud One Workload SecurityのXDR機能を
簡単に利用できるようなコンテンツをお届けしていきます!
ブログシリーズ『Cloud One Workload Security™のXDR機能を利用しよう!』
ここまでお読みいただき、ありがとうございました!
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
サーバセキュリティチーム ソリューションアーキテクト
齊 夢辰