CrowdStrike XDR：ソリューションの概要、価格、長所と短所

CrowdStrike Falcon Insight XDRとは？

CrowdStrike FalconInsight XDRは、エンドポイントの検知と対応（EDR）に、アイデンティティやクラウドを含む他のセキュリティレイヤーの検知と対応機能を組み合わせたプラットフォームです。CrowdStrikeのFalconプラットフォーム上に構築され、組織のエンドポイントと、クラウド、アイデンティティ、モバイル環境などの追加的な攻撃サーフェスにわたって、統合された可視性と保護を提供することを目的としています。

このプラットフォームは、サイロ化されたツールでは気づかない可能性のある攻撃パターンを特定するために、さまざまなドメインにわたる遠隔測定を相関させるのに役立つ。脅威インテリジェンスとAIを活用することで、Falcon Insight XDRは、組織が盲点をなくし、セキュリティ運用の効率を向上させることを支援する。

CrowdStrike Falcon Insight XDRの主な機能

CrowdStrike Falcon Insight XDRの主な機能は以下の通りです：

1. ネイティブのクロスドメインテレメトリー：Falcon Insight XDRは、EDRのテレメトリーをアイデンティティやクラウド環境のような追加のセキュリティドメインからのデータと統合します。これにより、攻撃の入口から影響に至るまでの攻撃のライフサイクルを把握することができます。
2. インシデントワークフロー：このプラットフォームは、CrowdStrike Charlotte AI™を使用して、個々のアラートよりもインシデントに優先順位を付けます。インシデントワークベンチは、エンティティリンクやインシデント履歴を含むコンテキストベースのデータを提供し、調査を簡素化します。
3. MITRE ATT&CK ^®フレームワークの統合：検出と調査はMITRE ATT&CK ^®フレームワークにより、攻撃テクニックや戦術に関するインテリジェンスをアナリストに提供する。サンドボックスの自動提出や脅威行為者のプロファイルは、敵対者の理解をさらに深めるかもしれない。
4. レスポンスと自動化:ファルコン・リアルタイムレスポンス(RTR)は、チームがリモートで脅威を修復することを可能にします。セキュリティオーケストレーションと自動化機能（SOAR）は、ワークフロー、通知、および反復的なタスクを簡素化することを目的としています。
5. 迅速な導入と拡張性：CrowdStrikeの比較的軽量なエージェントは、企業全体に数分で導入できるように設計されています。インターフェースは、EDR、XDR、脅威インテリジェンスモジュールにまたがるワークフローを提供します。
6. 脅威ハンティングとMDRサービス:ファルコン・インサイトXDRは、クラウドストライクのマネージドディテクションおよびレスポンス（MDR）サービスと統合されており、企業は脅威ハンティングとフルサイクルの修復機能を利用することができます。
7. サードパーティデータの取り込み：このプラットフォームは、1日あたり最大10GBのサードパーティデータの取り込みを無料でサポートしているため、企業は既存のセキュリティシステムを利用することができる。
8. セキュリティ・エコシステム：ファルコン・インサイトXDRは、さまざまなセキュリティ・ツールを1つのプラットフォームに統合することで、サイロ化を解消し、状況認識を向上させることを期待している。

関連コンテンツCrowdStrike脅威インテリジェンスガイドを読む

CrowdStrike Falcon Insight XDRの価格

CrowdStrike Falcon Insight XDR は、Falcon Enterprise および Falcon​ ​Complete MDRbundles の一部として利用できます。

• ファルコンエンタープライズ：このバンドルには、ファルコン・インサイトXDRに加え、エンドポイントの検出と対応、脅威のハンティング、次世代アンチウイルス、ファイアウォール管理が含まれる。
• ファルコン・コンプリートMDR：価格はお問い合わせください。このパッケージは、ファルコンエンタープライズをベースに、マネージド検知・対応（MDR）、ITハイジーン、およびマネージドエクスペリエンスのためのアイデンティティ保護を追加したものです。

小規模な組織や基本的な要件を満たす組織向けに、CrowdStrikeは次世代アンチウイルスやデバイス制御などのセキュリティ機能を提供するFalcon GoやFalcon​ ​Proも提供しているが、これらにはFalcon Insight XDRは含まれていない。

モバイル・デバイス保護やID保護などのオプションのアドオンで、さらにカスタマイズすることも可能だ。

CrowdStrike XDR アーキテクチャ

CrowdStrike Falcon Insight XDRは、スケーラビリティ、ハイパフォーマンス、シンプルなセキュリティ運用のために設計されたクラウドネイティブアーキテクチャであるCrowdStrike Falconプラットフォーム上に構築されています。中核となるアーキテクチャコンポーネントには以下が含まれます：

• クラウド・ネイティブ・インフラストラクチャ：プラットフォームはクラウド上で動作し、データセンターの分散ネットワークを活用する。これにより、膨大な量のテレメトリの高速処理が可能になり、スケーラビリティの確保に役立ちます。
• CrowdStrike Threat ^Graph ®：この独自のデータベースは、エンドポイントに関連する大量のイベントを毎日取り込み、関連付けます。エンドポイント、アイデンティティ、クラウドワークロードなど、さまざまな攻撃サーフェス間の関係をマッピングし、攻撃パターンを特定することで、分析を提供します。
• 軽量エージェント：40MB以下のFalconエージェントは、最小限のリソース使用で動作するように設計されています。エンドポイントやその他の環境を継続的に監視し、遠隔測定データを収集します。
• 統合データレイヤー: CrowdStrike XDRは、エンドポイントデータをアイデンティティ、クラウド、サードパーティのソースからの遠隔測定と統合し、一元化されたリポジトリに格納します。この統合データレイヤーは、横の動きの検出やステルス性の脅威の発見など、クロスドメインの相関や分析をサポートすることを目的としています。
• APIによる拡張性：CrowdStrike XDRは、APIを通じてサードパーティのツールやデータソースとの統合をサポートします。これにより、企業は検知機能を強化し、プラットフォーム間でインサイトを共有し、カスタマイズされたワークフローを構築することができます。
• 自動化とオーケストレーション：SOAR機能によってサポートされる組み込みの自動化機能は、脅威の自動修復や通知システムなど、対応ワークフローの簡素化を支援します。また、さまざまな脅威シナリオに対応するためのカスタムプレイブックもサポートしています。

CrowdStrike XDRはどのように異なるセキュリティレイヤーに対応するか

CrowdStrike Falcon Insight XDRは、複数のセキュリティレイヤーにまたがる保護を提供することを目的としています。ここでは、主要なドメインへの対応について説明する：

• エンドポイントセキュリティ：このプラットフォームは、CrowdStrikeのEDR機能に基づいて構築されており、エンドポイントの脅威を検知して対応します。マルウェア、ファイルレス攻撃、不審な挙動を行動分析とAIを用いて特定します。
• アイデンティティ保護：CrowdStrike XDRは、アイデンティティ管理システムと統合することで、クレデンシャルの不正使用、横移動、権限の昇格の検知を試みます。CrowdStrike XDR は、フィッシングやアカウント乗っ取りのような ID ベースの攻撃からの保護に重点を置いています。
• クラウドセキュリティ: Falcon Insight XDRは、クラウドワークロードとコンテナ環境に対する可視性を提供します。それは、クラウドのデプロイメントにおける誤設定、不正アクセス、異常な動作を特定するのに役立ちます。
• 電子メールとネットワークセキュリティ：CrowdStrike XDR は、電子メールゲートウェイとネットワークセキュリティツールからテレメトリを取り込み、このデータを使用して、フィッシングキャンペーンやネットワークの横方向の動きなど、従来の境界を越える脅威の検出を向上させます。
• サードパーティとの統合：このプラットフォームは、SIEM、ファイアウォール、侵入検知システムなどのサードパーティツールからデータを取り込むことができる。これにより、組織は既存のセキュリティ・レイヤーに到達し、環境を把握することができます。

CrowdStrike Falcon Insight XDRの制限事項

CrowdStrike Falcon Insight XDR を評価する際には、G2プラットフォームのユーザーから報告されたいくつかの重要な制限に注意することが重要です：

• システムパフォーマンスの低下：CrowdStrike Falcon Endpoint Protection が、特にアップグレードやスキャンのような集中的な操作中にシステムの速度を低下させるという報告もあります。
• レメディエーションの制限と CVE 対策の不足：一部のユーザーは、製品のレメディエーション機能が競合他社に遅れをとっていると報告している。さらに、CVEに対する保護機能の向上や、シグネチャベースの検出機能の改善を望む声もある。
• センサーアップデートの問題：時折、欠陥のあるセンサーアップデートの展開に関する問題が報告されている。テストが不十分なアップデートによる最近の機能停止など、このようなインシデントは、テストインフラを改善する必要性を浮き彫りにしています。
• コスト面の懸念：ソリューションの価格は高めで、追加製品や機能のライセンスを別途購入する必要がある場合が多い。
• 限られたトラブルシューティング効率:トラブルシューティングには予想以上に時間がかかることがあります。ユーザーは、問題を解決したり、詳細な洞察を得たりするために、チケットを発行し、カスタマーサポートに連絡する必要があるかもしれません。
• アンインストールの課題: CrowdStrikeセンサーのアンインストールは、特にホストが切断されている場合、時間がかかり複雑になる可能性があります。このような場合、メンテナンストークンを取得するには、CrowdStrike API コンソールを使用してコマンドを実行する必要があります。
• 限られたローカル情報：システムトレイのインターフェイスは、実行中のバージョン、システムステータス、オンラインセキュリティステータスなどの最小限の情報を提供します。しかし、コンピュータの状態を手動でチェックするローカルスキャンオプションのような機能はありません。
• プラグイン開発の制限：プラットフォームは統合のためのAPIを提供しているが、プラグイン開発のためのドキュメントは不十分である。ノーコードのプラグイン開発システムがあれば、ユーザーはワークフローや統合を素早く構築できるだろう。
• 分かりにくい機能セット：ポリシーの幅広い機能とオプションは、特にこのプラットフォームを初めて使うユーザーを混乱させることがある。

エクサビームクラウドストライクXDRの究極の代替品

セキュリティ情報・イベント管理（SIEM）ソリューションのリーディング・プロバイダーであるExabeamは、UEBA、SIEM、SOAR、TDIRを組み合わせ、セキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

主な特徴

• スケーラブルなログ収集と管理：オープンプラットフォームは、ログのオンボーディングを70％高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
• 行動分析：高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
• 脅威対応の自動化：インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
• 状況に応じたインシデント調査：Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
• SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
• NetMonによるネットワークの可視化：ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

エクサビームの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。

詳細はこちらExabeam Fusion SIEM