XDR (Extended Detection and Response) とは何ですか?
XDR(Extended Detection and Response) は、より包括的な脅威検出および対応機能であり、現在ではほとんどのサイバーセキュリティプロバイダーが一般的に提供しています。XDR は、クラウドネイティブでクラウドスケーラブルなセキュリティソリューションであり、さまざまなテレメトリソースを統合し、変換できます。Forrester社 は、XDR を「 エンドポイントの検出と応答 (EDR) の進化」と定義しています。
ボーダレスな環境が進み、クラウド間をデータが飛び交い、脅威の攻撃者にとってこれまで以上に好都合な環境が生まれている昨今、EDR は、よりプロアクティブかつ網羅性に富んだものであるべきでしょう。また、諸々が事前に定義されている必要もあります。XDR は、脅威の早期発見と、早期対処、修復を実現します。Gartner社 は、XDR を「複数のセキュリティ製品を、包括的なセキュリティ運用システムに、統合する検出およびインシデント対応ツール」であると述べています。
また、Enterprise Strategy Group(ESG) 社は、XDR セキュリティは「RSA とBlack Hat の次の話題になるトピックだけでなく、サイバーセキュリティを加速度的に進化させる」としています。XDR が製品なのかソリューションなのか、という議論は、引き続き継続しています。セキュリティ情報およびイベント管理(SIEM) の進化形?
現時点でもっとも近い呼び方としては、「さらに効果的で、さらに効率的な検知対応へのアプローチ」といったところになります。
XDRはどのように機能しますか?
XDR は、高度な分析を活用して、複数のテレメトリソースからのアラートを実用的な脅威インテリジェンスに関連付け、検出および対応プロセスの早い段階で脅威を阻止できるようにすることで機能します。XDR ソリューションの内部の仕組みを見てみましょう。
テレメトリの統合と、優れた検出と対応
XDR は、リモートユーザー、ネットワークデータ、エンドポイント、クラウド、また、今後登場するであろう何かしらのテレメトリを統合します。優れたXDR アプローチにより、アナリストは精選された検出、包括的な調査、詳細で相関性の高い脅威イベント、および自動応答の推奨事項を得ることができるようになります。アナリストは、よりシンプルに、よりスマートに、より速く作業することができるようになり、次に何をすべきかを把握できます。
効率性へのこだわり
XDRを正しく活用すれば、ブラウザのタブを行き来して、複数のツールを管理する煩わしさから解放されます。 XDRは、技術的な制限なしに拡張可能な、包括的なハブとして機能します。 SaaSとして提供されるため、オフィス間または世界中のコラボレーションの促進も期待できます。 また、XDRは急を要する分析要件やアラートの解析および分析から、セキュリティチームを解放します。。
精度の高い検出
優れたXDRは、低ノイズ性を実現します。 検出ライブラリの後ろ盾となるメソッド、脅威インテリジェンス、および勤勉さは、それが即利用可能な、信用できる検知であることを証明しています。 また、すべてのそれぞれ異なるデータは、ユーザー、アセット、およびアクティビティごとに関連付けされます。
ワンクリックで実行できる自動化
Forresterは、XDRにはワンクリックで実行できる規範的対応のサイバーセキュリティプレイブックが包含される必要があると述べています。 そうすることで、エンドポイントの脅威の封じ込め、ユーザーアカウントの一時停止、JiraやServiceNowなどのチケットシステムとの統合など、事前に構築されたワークフローの自動化が期待できます。
XDR と SIEM の比較
SOCの効率化
従来のSIEMは、大量のログデータをベースに、セキュリティチームに分析機能を提供するように構築されていました。 そこから、関連するセキュリティ テレメトリを集約し、結果を関連付け、脅威を検証し、修復するのはお客様自身です。
クラウドSIEM を中核とする XDR アプローチ を採用することで、セキュリティオペレーションセンター(SOC)による分析や構成が不要になります。効率、インシデント対応の加速、および1日に実行可能な作業量の拡張がXDR の主眼点です。
XDRが専門家によるキュレーションを提供
従来型SIEMは、お客様自身に依存する業務が多く存在します。 SIEM と EDRを組み合わせて実現するXDRでは、提供される情報すべてがキュレーション済みの形で提供されます。 チームはネイティブかつ関連性がある、実用的なテレメトリ、忠実度の高い検出、規範的な対応プレイブックを利用できます。
可視性の範囲
XDR は、SIEM ログの管理と分析以上の機能を提供します。 デジタルトランスフォーメーションは加速し、どこでも仕事ができることがニューノーマルとなっています。 真のXDRプラットフォームは、これらの新しいセキュリティの課題に対応し、さまざまなテレメトリソースと脅威フィードから脅威を特定します。
XDR とSOAR の比較
管理するデータ量が増えるにつれて、調査するアラートの数も増えています。 従来のSIEMソリューションでは、通常、これらのアラートに優先順位を付けるために必要なコンテキストをアナリストに提供しません。
これがXDR がSOAR である所以です。 つまり、 セキュリティ自動化および対応 (SOAR) プラクティスを活用して、大量の誤検知を自動的に除去し、受信するアラートの品質を高めます。XDR は、高度なテレメトリに重点を置いて、最も効果的な SIEM および SOAR プラクティスを改良して誘導し、チームが従来のリアクティブ ワークフローよりもプロアクティブに行動できるようにします。
XDR と EDR の比較
XDRはエンドポイントセキュリティを拡張します
EDR は SOC の方法論において重要な要素であり、ネットワーク全体の特定のエンドポイントを保護し、ワークステーションの資格情報の盗難、脅威アクターによるラテラルムーブメント、およびその他の検知をすり抜けるような動作を防ぐのに役立ちます。アラートに関連するコンテキストをキャプチャすることは、エンドポイント セキュリティを拡張する「特別なソース」であるため、アナリストや専門家はより迅速に対応することができます。
一つにまとめて優先順位を付ける
有能なインシデント検出と対応 (IDR) ソリューションでは、この拡張エンドポイント テレメトリを活用して、すぐに使用できる脅威検出を提供する必要があります。 アナリストは、大量のアラートをふるいにかける必要がないため、より迅速に行動できます。優先度が最も高いアラートにすばやく対応できます。
XDR コンテキスト + MDR サービス = 高度な保護
XDR エンドポイント ソリューションは、基本的な脅威の検出にとどまりません。拡張エンドポイント テレメトリ (EET)により、チームは特定の検出のトリガーを正確に知ることができます。インシデントの前後に何が起こったかについての具体的な詳細を取得します。さらに、EDR にこれらの重要な要素を追加すると、検出に関係するユーザーや特定の資産に関するより堅牢なコンテキストを提供するファイル整合性監視 (FIM) のメリットもチームにもたらされます。
XDRプラットフォームをどのように評価すべきか?
83%の組織が脅威の検出と対応の予算を増やし、29%が「盲点」を認め、29%がリカバリまでの時間を短縮する必要があり、27%がどの脅威を優先すべきかを知るための支援を求めています。2
内容を確認する
XDR の成果を謳う多くのベンダーは、テレメトリセットと拡張環境の可視化に必要な、ネットワークセンサーやクラウド フックアップ、ユーザー行動分析(UBA)、ログの取り込みなど、他のさまざまなサイバーセキュリティテクノロジーを統合し、それを売ること想定しています。
XDRに何が含まれているか、そしてチームが何をもたらすことが期待されているかを理解することが重要です。
次に、検出原理を理解する
では、XDRに最も期待される結果は何でしょうか? ノイズの多いアラートに終わりを告げ、忠実度の高い検出を提供することを約束します。
検出ライブラリの背景にある方法論、脅威インテリジェンス、および何に注意を払っているかについて質問することをお勧めします。原理と概念実証を理解することが大切です。そして、検出を直接体験してください。最後に、客観的なサードパーティの分析またはレビューを確認してください。
XDRの「R」を忘れないでください
何が自動化可能かを確認してみてください。アナリストの準備は整っていますか?ガイダンスはありますか?XDR は、単調かつ反復的な作業からあなたを解放し、そもそもあなたが興味を持っている、やるべき仕事に時間を割くことを可能にします。夕方、仕事を早く切り上げることもできるかもしれません。境界を越えた外部のプロアクティブな脅威インテリジェンスは、ますます動的になるアタックサーフェスに沿ったインシデントに対応する上で、今では標準となっています。
Managed XDR とは何ですか?
Managed XDR は、外部のサイバーセキュリティベンダーが提供するサービス ソリューションです。これには、上記のXDR のすべての利点が組み込まれており、通常は外部ベンダーが管理するテクノロジー、機能、アラート、および応答が組み込まれています。これにより、内部のセキュリティチームの広範な検出および対応プログラムを管理するストレスが軽減され、SOC は他のイニシアチブや懸念事項に軸足を移すことができます。
MDR(Managed Detection and Response) には、基盤となるXDR 機能に加えて、通常、デジタルフォレンジック侵害対応、定期的な脅威ハンティング、24x7x365監視、攻撃者のテイクダウン機能が含まれます。XDR 機能を追加することで、セキュリティチームは複数のツールを同時に操る必要がなくなります。マネージド サービス パートナーは、真の脅威のみを表面化し、攻撃とそれが組織にどのような影響を与えるかに特化した修復計画の作成を支援できる必要があります。
SOC が XDR 機能に精通したマネージド ディテクション アンド レスポンス (MDR) プロバイダーと提携している場合、そのチームは、優先順位付けする適切なコンテキストを含むアラートを受信しながら、ビジネスを前進させるためのイノベーションを継続できるようにします。
XDR について読み続けてください:
1 Enterprise Strategy Group(ESG) 2021年2月