XDRテレメトリとは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、特定のセキュリティソリューションによって収集されたデータを指します。各セキュリティレイヤーやソリューションにはさまざまなタイプのアクティビティデータが含まれているため、XDRプラットフォームはテレメトリを収集して未知の脅威を検出し、脅威ハンティングや根本原因の分析を支援します。
セキュリティソリューションは、1日以内に発生するさまざまなイベントに関するデータを収集します。これらのイベントは、ユーザがアクセスしたファイルの情報から、デバイスのレジストリの変更まで多岐にわたります。以下が、収集されるデータの種類の例です。
ネットワークイベント
クラウドワークロード
メールセキュリティ
エンドポイントセキュリティ
XDRプラットフォームの差別化要因となるのは、収集されるデータの種類と使用方法です。
主に独自のネイティブセキュリティスタック上に構築されたXDRプラットフォームには、データのより深い理解という利点があります。これにより、プラットフォームは、関連付けられた検出、詳細な調査、および脅威ハンティングのために分析モデルを最適化するために必要なものを正確に収集できます。
サードパーティ製品から主にデータを引き出すベンダーは、残念ながら関連データの理解が不足しています。これらのベンダーは、脅威の完全なコンテキストを理解するために必要なテレメトリの種類と深さを見落としている可能性があります。
テレメトリ、メタデータ、およびNetFlowを検討することは一般的ですが、このアラートデータには、分析を実行し、実践的な洞察を引き出すために必要な関連アクティビティ情報は実際には提供されません。
テレメトリの構造と保存方法を理解することは、収集したテレメトリを理解することと同様に重要です。アクティビティデータによっては、さまざまなデータベースやスキーマが、データのキャプチャ、クエリ、および使用方法を最適化するのに適しています。
たとえば、ネットワークデータを使用すると、グラフデータベースが最も効率的ですが、エンドポイントデータの場合は、オープンな検索および分析エンジンであるElasticsearchが適しています。
さまざまなテレメトリ用にさまざまなデータレイク構造をセットアップしておくと、検出、相関、検索におけるデータの効率と有効性が大幅に変わります。
SIEMはログとアラートの集約に有効ですが、同じインシデントで特定された複数のアラートを接続するのは効率的ではありません。これには、セキュリティレイヤー全体のルートテレメトリレベルでの評価が必要になります。
XDRアラートは、テレメトリを活用してアラート情報だけでなく、疑わしいアクティビティや悪意のあるアクティビティを特定することを目的としたその他の重要なアクティビティも検討します。たとえば、PowerShellアクティビティだけではSIEMアラートは発生しないかもしれませんが、XDRではエンドポイントを含む複数のセキュリティレイヤー間でアクティビティを評価および関連付けることができます。
収集されたテレメトリで検出モデルを実行することで、XDRプラットフォームがSIEMに送れるアラートの数と信頼性を高め、セキュリティアナリストのトリアージを減らすことができます。
関連記事
Trend 2025 Cyber Risk Report
組織間の信頼関係を悪用する高度なビジネスメール詐欺(BEC)の手口とその対策
Understanding the Initial Stages of Web Shell and VPN Threats: An MXDR Analysis
The Forrester Wave™: Enterprise Detection and Response Platforms, Q2 2024
It’s Time to Up-Level Your EDR Solution
レッドチームツールの悪用:「EDRSilencer」によるセキュリティ監視妨害
Modernize Federal Cybersecurity Strategy with FedRAMP
2025 Gartner® Magic Quadrant™ for Endpoint Protection Platforms (EPP)
The Forrester Wave™: Endpoint Security, Q4, 2023