XDRテレメトリとは?

XDRテレメトリとは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、特定のセキュリティソリューションによって収集されたデータを指します。各セキュリティレイヤーやソリューションにはさまざまなタイプのアクティビティデータが含まれているため、XDRプラットフォームはテレメトリを収集して未知の脅威を検出し、脅威ハンティングや根本原因の分析を支援します。

セキュリティレイヤー別のテレメトリの種類

セキュリティソリューションは、1日以内に発生するさまざまなイベントに関するデータを収集します。これらのイベントは、ユーザがアクセスしたファイルの情報から、デバイスのレジストリの変更まで多岐にわたります。以下が、収集されるデータの種類の例です。

ネットワークイベント

  • トラフィックフローのパターン
  • 境界や横方向で行われた接続
  • 疑わしいトラフィック挙動
  • TLS(旧SSL)フィンガープリント(JA3)

クラウドワークロード

  • 設定変更
  • 新しいインスタンスや変更されたインスタンス
  • ユーザアカウントのアクティビティ
  • プロセス
  • 実行されたコマンド
  • ネットワーク接続
  • 作成/アクセスされたファイル
  • レジストリの変更

メールセキュリティ

  • メッセージメタデータ(社内外のメール)
  • 添付ファイルのメタデータ
  • 外部リンク
  • ユーザアクティビティ(ログインなど)

エンドポイントセキュリティ

  • プロセス
  • 実行されたコマンド
  • ネットワーク接続
  • 作成/アクセスされたファイル
  • レジストリの変更

収集したテレメトリでどのような差がつくか

XDRプラットフォームの差別化要因となるのは、収集されるデータの種類と使用方法です。

主に独自のネイティブセキュリティスタック上に構築されたXDRプラットフォームには、データのより深い理解という利点があります。これにより、プラットフォームは、関連付けられた検出、詳細な調査、および脅威ハンティングのために分析モデルを最適化するために必要なものを正確に収集できます。

サードパーティ製品から主にデータを引き出すベンダーは、残念ながら関連データの理解が不足しています。これらのベンダーは、脅威の完全なコンテキストを理解するために必要なテレメトリの種類と深さを見落としている可能性があります。

テレメトリ、メタデータ、およびNetFlowを検討することは一般的ですが、このアラートデータには、分析を実行し、実践的な洞察を引き出すために必要な関連アクティビティ情報は実際には提供されません。

テレメトリの構造と保存方法を理解することは、収集したテレメトリを理解することと同様に重要です。アクティビティデータによっては、さまざまなデータベースやスキーマが、データのキャプチャ、クエリ、および使用方法を最適化するのに適しています。

たとえば、ネットワークデータを使用すると、グラフデータベースが最も効率的ですが、エンドポイントデータの場合は、オープンな検索および分析エンジンであるElasticsearchが適しています。

さまざまなテレメトリ用にさまざまなデータレイク構造をセットアップしておくと、検出、相関、検索におけるデータの効率と有効性が大幅に変わります。

XDRテレメトリとSIEMアラート

SIEMはログとアラートの集約に有効ですが、同じインシデントで特定された複数のアラートを接続するのは効率的ではありません。これには、セキュリティレイヤー全体のルートテレメトリレベルでの評価が必要になります。

XDRアラートは、テレメトリを活用してアラート情報だけでなく、疑わしいアクティビティや悪意のあるアクティビティを特定することを目的としたその他の重要なアクティビティも検討します。たとえば、PowerShellアクティビティだけではSIEMアラートは発生しないかもしれませんが、XDRではエンドポイントを含む複数のセキュリティレイヤー間でアクティビティを評価および関連付けることができます。

収集されたテレメトリで検出モデルを実行することで、XDRプラットフォームがSIEMに送れるアラートの数と信頼性を高め、セキュリティアナリストのトリアージを減らすことができます。

関連記事