XDRセキュリティレイヤー

脅威検知という点に関して言えば、セキュリティオペレーションセンター (SOC) のアナリストの仕事は、最初の侵入から横展開（ラテラルムーブメント）、データ窃取までのストーリーをまとめ、その影響と必要な対応処置を迅速に理解することです。このプロセスにより、影響や必要な対応処置について迅速に理解することが可能になります。

統合された単一のXDRプラットフォームに投入するデータソースとセキュリティベクトルが多いほど、相関付けの機会が増え、より包括的な調査と対応を実現できます。

たとえば、アナリストが現在、管理対象エンドポイント上の不審なアクティビティを詳細に可視化するのにEDRツールを使用していても、その後はサイロ化された別個のビューでネットワークセキュリティアラートとトラフィック分析を利用している場合があります。クラウドワークロードに関しては、不審なアクティビティを特定するための可視性が限られているケースもよくあります。

環境のあらゆる要素から、騒々しいアラートが生成され、それらは多くの場合、SIEMに送信されます。アナリストはアラートを確認することはできますが、アラート間に起きたすべてのアクティビティの記録を詳細に確認することはできません。追加の関連付けがなければ、攻撃の重要な詳細情報は、関連するイベントを結び付けるためのコンテキストや手段のないまま、アラートの中に埋もれてしまいます。​

XDRは、これらのレイヤを1つにまとめます。したがってセキュリティアナリストは、より大局的に現状を把握し、これから会社で何が起こる可能性があるかをすばやく説明できます。たとえば、ユーザがどのように感染したか、最初の侵入ポイント、同じ攻撃にほかに何・誰が含まれているか等の情報です。

脅威がどのように到達して変化し、エンドポイント間で拡散したかを分析するには、エンドポイントのアクティビティを効率的に記録する必要があります。XDRを使用すれば、侵害の痕跡 (IOC) を探し、攻撃の痕跡 (IOA) に基づいてハンティングを実行できます。

検知: 不審で危険なエンドポイントイベントの調査と特定

調査: エンドポイントで何が起きているか? イベントはどこから来たか? 他のエンドポイント間にどのように伝播したか?

対応: 隔離、プロセスの停止、ファイルの削除/復元

多くの組織では、EDRツールを使用してエンドポイントから調査を開始すると考えられます。これは第一歩としては適切ですが、攻撃ストーリーの最初と最後が欠落する可能性があります。攻撃がエンドポイントに到達する前に、何が起きたのでしょうか? メール経由で到達し、他のユーザも同じメールを受け取ったのでしょうか? 攻撃がエンドポイントに到達した後には、何が起きたのでしょうか?サーバやコンテナに横展開しましたか? 管理対象外デバイスに拡散しましたか?

侵害の94%がメールを介して始まっていることを考えると^[1]、侵害されたアカウントを特定して不正なメールの脅威を検知する機能は、組織の検知能力を拡大する上で重要な要素です。

検知: メールの脅威、侵害されたアカウント、攻撃されやすいユーザ、およびメール攻撃のパターン

調査: 誰が侵入を発生させ、ほかに誰が不正なメールを受信したか?

対応:  メールの隔離、メール送信者のブロック、アカウントのリセット

メールは最大の攻撃ベクトルであることから、クロスレイヤーの検知と対応を実現するための優先的な拡張ポイントにする必要があります。メールの脅威はほとんどの場合、ユーザがメールに埋め込まれた添付ファイルやリンクをクリックしない限り、エンドポイントに影響を及ぼしません。未実行の脅威が検知されないまま複数の受信ボックスに存在している可能性もあります。エンドポイント検知と発生源のメールを結び付けると、受信ボックスを自動的に検索して、ほかに誰が不正なメールを受信しているか、そして不正な添付ファイルやURLが他のユーザのメールボックスにも存在しているかどうかを見つけることが可能になります。その後、メールを隔離して脅威を取り除き、さらなる拡散や被害を防ぐことができます。

標的型攻撃を検知するのに適した方法はネットワーク分析です。この攻撃は、水平に拡散したり、コマンド&コントロール (C&C) サーバと通信したりするためです。ネットワーク分析により、イベントをフィルタリングしてノイズを除去できるほか、IoTデバイスや管理対象外デバイスなど盲点になる恐れがあるデバイスを確認できます。

検知: 脅威が拡散するときの異常な動作

調査:  脅威はどのように通信するか? 組織内でどのように移動するか? ​

対応:   攻撃範囲の概要の説明

ネットワークログは、攻撃範囲の理解に役立つ包括的なデータソースを提供しますが、他のセキュリティアラートと相関付けなければ、何が関係していて重要かを評価するために必要なコンテキストを得るのは困難です。たとえば、ネットワークとエンドポイントは強力な組み合わせで、そのデータを相関付けることにより、エンドポイントレイヤー単独では無害に見えるものであっても (不審なPowerShellアクティビティなど)、それに関連するサーバとのコマンド&コントロール (C&C) 通信を併せて考慮すると、突如として優先度の高いセキュリティアラートになります。

エンドポイントと同様に、このためにはアクティビティを効率的に記録し、脅威がどのように到達し、サーバやクラウドワークロード間で拡散したかを分析する必要があります。侵害の痕跡 (IOC) を探し、攻撃の痕跡 (IOA) に基づいてハンティングを実行できます。

検知: 特にサーバ、クラウドワークロード、コンテナを標的とする脅威

調査: ワークロード内で何が起きたか? それはどのように伝播したか? ​

対応:   サーバの分離、プロセスの停止

多くの担当者がサーバとクラウドワークロードにEDRツールを使用していると思われますが、ほとんどの場合、EDRは新しいクラウドモデルには適切に対応しておらず、必要な種類のデータや可視性は得られません。どのような攻撃ベクトルであっても、複数のサーバ環境からの情報を相関付けると、その情報を他のレイヤーからのアクティビティデータと紐付けて、不審なアクティビティ (以前に一度も通信したことのない国のIPアドレスと通信するサーバなど) が不正なものであることを確認できます。これは、エンドポイントであってもネットワークであっても同じです。