XDRセキュリティアナリティクス

XDRでは、セキュリティアナリティクスを中核に据えて、さまざまなプロトコル、さまざまな製品、さまざまなセキュリティレイヤからの多様なテレメトリフィードの変更に対応します。XDRには通常、特にエンドポイント、サーバ、クラウドワークロード、メール、ネットワークなど、多様な方向からのアクティビティデータが含まれます。そこでセキュリティアナリティクスエンジンがそのデータを処理して、定義済みのフィルタ、ルール、またはモデルに基づいてアラートをトリガーします。アナリティクスとは、XDRプラットフォームに入る情報をまとめて、セキュリティイベントを特定するものです。XDRでは、機械学習、データスタック、またはその他のビッグデータ分析など、最適な分析手法または手法の組み合わせを使用して意思決定を行います。XDRアナリティクスでは、アクティビティデータを分析し、セキュリティレイヤ全体でさまざまな挙動パターンを探して、複雑なマルチステップ攻撃を特定します。  

XDRプラットフォームを差別化するのは、その分析機能です。究極的には、アナリティクスはさまざまなXDR検出モデルの基礎といえます。その役割は、信頼度の低いイベント、挙動、および行動を、さまざまなセキュリティレイヤ内および全体で互いに関連付けることです。

XDRでは、セキュリティアナリストが疑わしいアクティビティの断片を個別に見るのではなく、一連のイベントを相互に関連付けて、悪意があると特定することができます。これは、疑わしいフィッシングメールに対して1回アラートを受け取る、ことによると疑わしいWebドメインアクセスに対してさらに別のアラートを受け取る、ということではありません。XDRでは、疑わしいフィッシングメールを、エンドポイントでアクセス回数の少ないWebドメインアクセスと関連し、その後にはスクリプトの実行後にファイルがダウンロードされるととらえます。これが、調査対象の悪意のあるアクティビティに対する高忠実度のXDR検出につながっていきます。

XDRは、検出された個別のイベントとその他のアクティビティデータを取得して、より高度で的確な検出を行うためにクロス相関を行い、そこにクラウドアナリティクスを適用します。XDRでは、個別の製品単体ではわからないことに焦点を当てます。 

XDRアナリティクスに関しては、利用可能なルール、ソース、レイヤが多いほど、より良い結果が得られます。しかし、データの質も重要です。調査結果の質や分析に洞察があまり含まれていない場合は、データ収集の仕方が効果的ではなかった可能性があります。

検出ルールと手法: XDRの美点は、クラウドインフラストラクチャを活用することで、さまざまな種類の疑わしい一連のアクティビティを探すための、新しいまたは強化された脅威検出ルールとモデルが定期的に作り出されることです。機械学習の検出手法は使えば使うほど、絶えず学習と改良が行われ、検出効率が高まり、誤検出が減少します。

参照: 脅威研究と脅威インテリジェンスを使用することで、脅威の状況が進展しても、新しい検出モデルを進化させることができます。検出モデルは、MITRE ATT&CK™戦術およびテクニックなどの社内外の脅威情報を統合したものである必要があります。

レイヤ: そしてもちろん、追加するセキュリティレイヤが多くなるほど、プラットフォームのクロスレイヤ分析機能が高まり、お客さまにとって価値が飛躍的に大きくなります。