XDRの概要

XDRとは

XDRとは、クロスレイヤーの検知と対応です。XDRは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークという複数のセキュリティレイヤーにわたってデータを収集して自動的に相関付けます。これにより、脅威の検知を迅速化し、セキュリティアナリストは調査と対応にかかる時間を向上させることができます。

XDR

XDRは、クロスレイヤーの脅威検知と対応を提供します。

ステルス型攻撃は検知を回避します。このような攻撃は、断続的なソリューションアラートの合間を縫ってセキュリティサイロに隠れ、時間の経過とともに伝播しますが、セキュリティアナリストは、まとまりがなく狭い視点で攻撃のトリアージと調査を行おうとします。

XDRは、包括的な検知・対応アプローチによって、このようなサイロを解消します。XDRは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークという複数のセキュリティレイヤーにわたって検知結果と詳細なアクティビティデータを収集して相関付けます。この豊富なデータのスーパーセットを自動的に分析することで、より迅速に脅威を検知し、セキュリティアナリストは、より徹底的な調査を行って以降の措置をすばやく実行する体制を整えることができます。

詳細については、「 XDRにデータをフィードするセキュリティレイヤー 」をご覧ください。

SOCの課題

検知と対応に関して言えば、SOCアナリストは、重大な脅威をすばやく特定して組織へのリスクと被害を抑えるという困難な責任を負っているにもかかわらず、理想的とは言えない環境でその責任を果たさなければなりません。 

アラートによる過負荷

ITチームとセキュリティチームは多くの場合、さまざまなソリューションから通知されるアラートに圧倒されているとしても不思議ではありません。平均1,000人の従業員を有する企業の場合、ピーク時には1秒あたり最大22,000個のイベントがSIEMに送られる可能性があります。これは1日にすると200万個のイベントに相当します[1]。イベントを相関付けて優先順位を付ける手段がほとんどないまま膨大な量のアラートに直面する中、最も熟練したアナリストでさえ、すばやくまたは効果的にノイズをかき分けて重大なイベントを見つけることに苦戦しています。 XDRは、単独では信頼性の低い一連のアクティビティを自動的につなぎ合わせて信頼性の高い1つのイベントに変換し、優先順位が付けられた少数のアラートが処置対象として表示されるようにします。

可視性のギャップ

アラートとアクティビティを可視化できる製品は数多くありますが、各製品が提供する視点は独自のもので、収集/提供されるデータは、その製品の機能に対して関連性があり有用なデータです。各セキュリティ製品を統合すればデータの交換と統合は可能になりますが、収集されるデータの種類と深さ、および実行可能な相関付けのレベルによって、製品の価値が制限されてしまうことがほとんどです。つまり、見えることと行えることにはギャップがあります。それとは対照的に、XDRでは、個々のセキュリティツール全体にわたってアクティビティデータ (検知結果、テレメトリ、メタデータ、ネットフローなど) を収集し、そのデータレイク全体にアクセスすることができます。XDRは、高度な分析と脅威インテリジェンスを適用することにより、すべてのセキュリティレイヤーにわたり、イベントチェーン全体を攻撃中心の視点で把握するために必要とされる完全なコンテキストを提供します。

調査の実施に伴う難題

多数のログとアラートがあっても、明確なインジケータがなければ、何を探せば良いかを判断するのは困難です。問題や脅威を見つけても、その経路と組織全体への影響を詳細に理解するのは容易ではありません。そのためのリソースがあったとしても、調査の実施は時間がかかる手動での作業になる可能性があります。XDRは、手動のステップを排除してプロセスを自動化し、豊富なデータとツールを提供して、他の方法では不可能な分析を可能にします。たとえば、自動化された根本原因分析について考えてみましょう。この分析では、アナリストはタイムラインと攻撃経路 (メール、エンドポイント、サーバ、クラウド、ネットワークにまたがる可能性がある) を明確に確認して、攻撃の各ステップを掘り下げて評価し、必要な対応を実行することができます。

そして最終的には...検知・対応時間の遅さ

前述のような課題があるため、脅威は非常に長期間検知されないままになっており、その後の対応時間が増加し、攻撃のリスクと重大性が高まることになります。クロスレイヤーの検知と対応は、究極的には脅威検知率と対応時間の向上という切望される結果につながります。セキュリティ組織では、主要なパフォーマンス指標として、平均検知時間 (MTTD) と平均対応時間 (MTTR) を測定、監視することが増えています。同様に、ソリューションの価値と投資についても、これらの指標がそのソリューションによってどれほど促進されて企業のビジネスリスクが削減されるかという点から評価されます。

XDRとEDRの比較

XDRは、検知と対応において、現在のポイントソリューションによる単一ベクトルのアプローチを超える進化を実現します。

エンドポイント検知・対応 (EDR) はこれまで非常に有益であったことは明らかです。しかし、その機能の深さにもかかわらず、EDRは管理対象のエンドポイントしか監視できないため、結局のところは限界があります。このため、検知可能な脅威の範囲が制限され、誰と何が影響を受けるかを理解することが難しく、そのため最善の対応策を理解することも難しくなります。

同様に、ネットワークトラフィック分析 (NTA) ツールの範囲も、ネットワークと監視対象のネットワークセグメントに制限されます。NTAソリューションは、大量のログを生成する傾向があるため、ネットワークアラートの意味を理解し、そこから価値を引き出すには、ネットワークアラートと他のアクティビティデータとの相関付けが重要です。

業界は検知と対応において飛躍的発展を遂げてきましたが、これまでその機能は個々のソリューションとセキュリティレイヤーによって提供されてきたことから、データ収集と分析のメリットはサイロ化されたままです。XDRは、検知と対応を一元的な統合アクティビティへと進化させ、個別製品の寄せ集めよりも優れた結果を実現します。

SIEMの強化

組織は、SIEMを使用して複数のソリューションからログとアラートを収集します。SIEMによって複数の場所から大量の情報をまとめて一元的に可視化できますが、その結果、圧倒的な量のアラートが個別に生成されます。これらのアラートを調べて、何が重要で注意が必要かを理解するのは容易ではありません。すべての情報ログを相関付けてつなぎ合わせ、より大きなコンテキストの視点を得られるようにすることは、SIEMだけでは困難です。

それとは逆に、XDRは詳細なアクティビティデータを収集して、その情報をデータレイクにフィードし、クロスレイヤーでの検索、ハンティング、調査を実現します。この豊富なデータセットにAIと専門家による分析を適用することで、多くのコンテキストに基づく少数のアラートを実現し、それらを企業のSIEMソリューションに送信できます。XDRはSIEMを置き換えるものではなくSIEMを強化するもので、セキュリティアナリストが関連のあるアラートとログを評価し、注意が必要で詳細に調査すべきものを決定するまでの所要時間を短縮します。

機能の必須項目

エンドポイントにとどまらない複数のセキュリティレイヤー

  • クロスレイヤーの検知と対応を実行するには、レイヤーが少なくとも2つ必要です。さらに、エンドポイント、メール、ネットワーク、サーバ、クラウドワークロードなど、レイヤーの数が多いほど優れた結果が得られます。
  • XDRは、エンドポイントにとどまらず全体に検知と対応の範囲を広げます。これにより、EDRは他の重要なアクティビティ領域にも対応できるようになります。たとえば、メールは最大の攻撃発生源であるため、非常に重要です。
  • XDRは、複数のレイヤーからのアクティビティデータをデータレイクにフィードし、適用可能なすべての情報を最も関連性の高い構造で提供し、効果的な相関付けと分析を実行できるようにします。
  • 単一ベンダーのネイティブセキュリティスタックを使用するのをやめてベンダー/ソリューションの増加を防ぎ、検知、調査、対応の各機能間の統合と相互作用を比類のない深さで実現します。


専用のAIと専門家によるセキュリティ分析

  • データ収集はXDRの利点の1つですが、XDRの最終目標は、分析とインテリジェンスを適用して検知の向上と高速化を促進することです。
  • テレメトリの収集がコモディティ化する中、価値を高めるのは、情報を洞察とアクションに変換できる、セキュリティ分析と脅威インテリジェンスの組み合わせです。
  • ネイティブのインテリジェントなセンサーから分析エンジンに情報がフィードされ、サードパーティ製品/テレメトリ上でなければ実現できない、より効果的なセキュリティ分析を提供します。どのベンダーでも、サードパーティのデータよりも自社製品のデータをより深く理解しています。最適化された分析機能を実現するためには、ベンダーのネイティブセキュリティスタック専用のXDRソリューションを優先するべきです。


完全な可視性を実現する、自動化された単一の統合プラットフォーム

  • XDRでは、単一ビュー内で提供されるデータから論理的な接続を行えるため、より洞察に満ちた調査が可能になります。
  • 攻撃中心のグラフィカルなタイムラインビューが用意されており、以下のような質問に1か所で答えることができます。

ユーザはどのように感染したか
初期侵入媒体は何か
同じ攻撃にほかには何/誰が含まれているか
脅威の起点はどこか
脅威はどのように拡散したか
同じ脅威にアクセスできるユーザはほかに何人いるか

  • XDRは、セキュリティアナリストの能力を強化してワークフローを合理化します。また、手動のステップを迅速化または排除することでチームの作業を最適化し、すぐには実現できないビューと分析を可能にします。
  • SIEMおよびSOARと統合すると、アナリストはXDRの洞察をより広範なセキュリティエコシステムと連携させることができます。

XDR セキュリティのトピック

[1] 出典: http://content.solarwinds.com/creative/pdf/Whitepapers/estimating_log_generation_white_paper.pdf