XDRテレメトリ

XDRテレメトリとは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、特定のセキュリティソリューションによって収集されたデータのことを指します。各セキュリティレイヤやソリューションには、さまざまな種類のアクティビティデータが含まれています。XDRプラットフォームは、テレメトリを収集することで未知の脅威の検出とハンティングを行い、根本原因の分析を支援します。

セキュリティレイヤ別のテレメトリの種類

セキュリティソリューションは、その日の間に発生するさまざまなイベントに関するデータを収集します。収集対象のイベントは、ユーザがアクセスしたファイル情報からデバイスのレジストリ変更まで多岐にわたります。収集されるデータの種類の例は次のとおりです (以下に限りません)。

ネットワークイベント

トラフィックフローのパターン
境界横断および横方向で行われた接続
疑わしいトラフィック挙動
TLS (旧SSL) フィンガープリント (JA3)

クラウドワークロード

設定変更
新しい/変更済みインスタンス
ユーザアカウントのアクティビティ
プロセス
実行されたコマンド
ネットワーク接続
作成/アクセスされたファイル
レジストリの変更

メール

メッセージメタデータ (社内外のメール)
添付ファイルのメタデータ
外部リンク
ログインなどのユーザアクティビティ

エンドポイント

プロセス
実行されたコマンド
ネットワーク接続
作成/アクセスされたファイル
レジストリの変更

収集したテレメトリでどのように差がつくか

XDRプラットフォームを差別化するのは、収集されるデータの種類は何か、またそのデータを使用して何を行うかという点です。

主に独自のネイティブセキュリティスタック上に構築されたXDRプラットフォームには、データを深く理解できるという利点があります。したがって、相関検出、詳細調査、脅威ハンティング用の分析モデルを最適化するために必要とされるものを正確に収集できます。

サードパーティ製品からデータを引き出すことばかりに集中しているベンダーは、関連付けられたデータについてそれほど理解していない状態でスタートします。問題の全貌を理解するために必要なテレメトリの種類や深さを把握していない可能性があるのです。

テレメトリ、メタデータ、NetFlowなどを検討するのは業務の流れとして一般的ですが、このアラートデータは、分析を実行し、実践的な洞察を引き出すために必要な関連アクティビティ情報を実際に提供することはありません。

テレメトリの構成および保存方法について理解するのは、収集するテレメトリの内容について理解するのと同じくらい重要です。アクティビティデータによっては、データの取得、クエリ、および使用方法を最適化するにあたり、別のデータベースやスキーマがより適しています。

たとえば、ネットワークデータの場合は、グラフデータベースが最も効率的と考えられますが、エンドポイントデータの場合は、オープン検索および分析エンジンのElasticsearchの方が好まれることもあります。

異なるテレメトリ向けにさまざまなデータレイク構造をセットアップしておくと、検出、相関、検索のためのデータの効率性と有効性の活用において大きな差をつけることができます。単一の共有スキーマにデータを当てはめようとすることは、機能の深さを失うということです。

XDRテレメトリとSIEMアラート

SIEMは、ログとアラートの集約に優れています。同じインシデントにより識別された複数のアラートを接続するのは効率的ではありません。これには、セキュリティレイヤ全体でルートテレメトリを評価することが必要になります。

疑わしい、または悪意のあるアクティビティを特定するために、XDRアラートはテレメトリを活用して、アラート情報だけでなくその他の重要なアクティビティを考慮できます。たとえば、PowerShellアクティビティ単独ではSIEMアラートが発生しない場合でも、XDRを使用すれば、エンドポイントを含む複数のセキュリティレイヤ間でアクティビティを評価し、関連付けることができます。

収集されたテレメトリに基づいて検出モデルを実行することにより、XDRプラットフォームは、より少ない数の、より信頼性の高いアラートを識別してSIEMに送信し、セキュリティアナリストが必要とするトリアージの量を減らすことができます。