XDRテレメトリの概要

XDRテレメトリとは、異なるセキュリティ製品で収集したデータのことです。各セキュリティレイヤまたは製品に、異なる種類のアクティビティデータがあります。XDRプラットフォームはテレメトリを使用して、未知の脅威を検出およびハンティングし、根本原因の分析を支援します。

セキュリティレイヤ別のテレメトリの種類

セキュリティ製品は、1営業日内に発生するさまざまなイベントに関するデータを収集します。 収集対象のイベントは、ユーザがアクセスしたファイル情報からデバイスのレジストリ変更まで多岐にわたります。収集されるデータの種類の例は次のとおりです (以下に限りません)。 

ネットワークイベント

  • トラフィックフローのパターン
  • 境界横断および横方向で行われた接続
  • 疑わしいトラフィック挙動
  • TLS (旧SSL) フィンガープリント (JA3)

クラウドワークロード

  • 設定変更
  • 新しい/変更済みインスタンス
  • ユーザアカウントのアクティビティ
  • プロセス
  • 実行されたコマンド
  • ネットワーク接続
  • 作成/アクセスされたファイル
  • レジストリの変更

メール

  • メッセージメタデータ (社内外のメール)
  • 添付ファイルのメタデータ
  • 外部リンク
  • ログインなどのユーザアクティビティ

エンドポイント

  • プロセス
  • 実行されたコマンド
  • ネットワーク接続
  • 作成/アクセスされたファイル
  • レジストリの変更

収集したテレメトリでどのように差がつくか

テレメトリ収集は新しいものでも独自のものでもありません。XDRプラットフォームを差別化するのは、収集されるデータの種類は何か、そのデータを使用して何を行うかという点です。

主に独自のネイティブセキュリティスタック上に構築されたXDRプラットフォームには、データを深く理解できるという利点があります。したがって、相関検出、詳細調査、脅威ハンティング用の分析モデルを最適化するために必要とされるものを正確に収集できます。

サードパーティ製品からデータを引き出すことばかりに集中しているベンダーは、関連付けられたデータについてそれほど理解していない状態でスタートします。問題の全貌を理解するために必要なテレメトリの種類や深さを把握していない可能性があるのです。

ほとんどの場合、テレメトリ、メタデータ、NetFlowなどのアラートデータを確認します。これらから、分析を実行して実用的な洞察を推進する関連アクティビティデータを得ることはできません。

テレメトリの構成および保存方法は、どのようなテレメトリを収集するかと同様に重要です。アクティビティデータによっては、データの取得、クエリ、および使用方法を最適化するにあたり、別のデータベースやスキーマがより適しています。

データ特性に基づいて構築されるデータレイクの最も効率的な構造を選択することで、データの使用方法を最適にすることができます。たとえば、ネットワークデータの場合、グラフデータベースが最も効率的な可能性がありますが、エンドポイントデータの場合は、Elasticsearchの方が好まれる可能性があります。

異なるテレメトリ向けにさまざまなデータレイク構造をセットアップしておくと、検出、相関、検索のためのデータの効率性と有効性の活用において大きな差をつけることができます。単一の共有スキーマにデータを当てはめようとすることは、機能の深さを失うということです。

XDRテレメトリとSIEMアラート

SIEMは、ログとアラートの集約に優れています。同じインシデントにより識別された複数のアラートを接続するのは効率的ではありません。これには、セキュリティレイヤ全体でルートテレメトリを評価することが必要になります。

疑わしい、または悪意のあるアクティビティを特定するために、XDRアラートはテレメトリを活用して、アラート情報だけでなくその他の重要なアクティビティを考慮できます。たとえば、PowerShellアクティビティそのものではSIEMアラートが発生しない場合がありますが、XDRは他のエンドポイントアクティビティと一緒にそれを確認できます。一緒に考慮すると、それらはコアイベントの一部として識別できます。

収集されたテレメトリに基づいて検出モデルを実行することにより、XDRプラットフォームは、より少ない数の、より信頼性の高いアラートを識別してSIEMに送信し、セキュリティアナリストが必要とするトリアージの量を減らすことができます。

XDRセキュリティのトピック