Fortinet XDR（FortiXDR）：ソリューションの概要、機能、制限

Fortinet XDR（FortiXDR）とは？

Fortinet XDR（FortiXDR）は、組織のセキュリティエコシステム全体でセキュリティインシデントの検知、調査、対応を一元化し、自動化することを目的とした拡張検知応答（XDR）ソリューションです。フォーティネットのセキュリティファブリックやサードパーティ製品と統合し、テレメトリデータを分析してアラートの疲労を軽減することを目的としています。

FortiXDRは、人工知能とアナリティクスを使用して、多様なセキュリティプラットフォー ムからの忠実度の低いアラートを忠実度の高いインシデントに相関させようとします。これらのインシデントを調査することで、複数のセキュリティレイヤーにまたがる対応アクションの事前定義と自動化を支援します。FortiXDRの主な目的は、脅威を検出して対応するまでの時間を短縮することです。

これは、フォルティシエムに関する一連の記事の一部である。

FortiXDRの主な特長

FortiXDRは、セキュリティ運用の改善を目的とした一連の機能を提供します。その中核となる機能をいくつか紹介します：

1.検知の拡張：FortiXDRは、フォーティネットが収集した分析を適用して、フォーティネット セキュリティ ファブリック全体からのセキュリティ テレメトリの関連付けを支援します。このプロセスはアラートの統合を意図しており、横移動、ブルートフォース攻撃、フィッシングの試み、データ流出などのリスクの高いインシデントの特定をサポートします。

2.AIを活用した調査：FortiXDRは、専門アナリストの行動を再現するマイクロサービスを備えたエンジンを使用しています。FortiXDRは、テレメトリの取得、静的および動的ファイル解析、ベースライン動作の比較、脅威インテリジェンスの活用によってインシデントを分析します。この自動化された調査により、インシデントのトリアージ時間が短縮されます。

3.自動化可能なレスポンスフレームワーク：このソリューションには、ユーザーの役割、インシデントの重大度、影響を受ける資産に基づいて事前に定義されたレスポンスアクションを可能にするように設計されたフレームワークが含まれています。アクションには、デバイスの隔離、認証情報の取り消し、最新の脅威インテリジェンスの共有などが含まれます。これらの対応は、フォーティネットとサードパーティのセキュリティツール間で調整されます。

4.セキュリティ ファブリックの統合：FortiXDRは、FortiGate、FortiSIEM、FortiMailなどのフォーティネットのセキュリティ ファブリック コンポーネントと統合し、検知と対応を可能にします。たとえば、FortiMailを介して悪意のある電子メールをブロックしたり、FortiNACを介して侵害されたデバイスを隔離したりできます。

5.サードパーティのサポート：FortiXDRは、ファイアウォール、アイデンティティサービス、発券プラットフォーム、クラウドアクセスセキュリティブローカー（CASB）など、API統合を通じてサードパーティのセキュリティソリューションをサポートすることを目指しています。この相互運用性により、企業はハイブリッド環境を保護することができます。FortiSOARは、300を超える統合をサポートしているというが、これはFortiSOARと統合してその統合を活用した場合にのみ達成できる。

6.実行前および実行後の保護：FortiEDR上に構築されたFortiXDRは、実行前および実行後の脅威に対する保護を提供することを意図しています。FortiXDRは、エンドポイント、サーバ、IoTデバイスにまたがる保護を提供し、運用を中断することなくランサムウェアやその他の攻撃から潜在的に防御します。

7.マネージドサービス:さらなるサポートを求める組織向けに、フォーティネットはMxDR（Managed eXtended Detection and Response）サービスを提供しています。これらのサービスには、24時間365日の監視と、導入、設定、継続的なチューニングの支援が含まれます。

8.マルチデータレイクのサポートFortiXDR は独自のデータレイクを維持しないため、FortiAnalyzer または FortiSIEM への接続が必要です。

FortiEDR および FortiXDR とフォーティネット セキュリティ ファブリックの統合

FortiEDRとFortiXDRをFortinet Security Fabricと統合することで、企業環境のセキュリティを確保するための統一的なアプローチを提供できる可能性があります。この統合は、脅威の可視性の制限、一貫性のないポリシーの実施、異種のセキュリティソリューションに起因する非効率性といった課題の解決に役立つ可能性があります。

FortiEDRは、脅威を検出してカーネルレベルの防御を提供することで、エンドポイントやサーバーを保護することを目的としています。他のフォーティネットセキュリティツールと統合することで、相互接続されたサイバーセキュリティエコシステムをサポートします。FortiXDRは、エンドポイント、ネットワーク、クラウド環境、サードパーティ製品からのデータを相関させることで、これらの機能を攻撃対象領域全体に拡張することを期待しています。

この統合には以下のような利点がある：

• 脅威の可視化：FortiEDRとFortiXDRは、FortiAnalyzerやFortiSIEMなどのツールと統合し、インフラ全体の継続的な監視とAI主導の分析を可能にする可能性があります。セキュリティチームは、エンドポイント固有のインシデントと広範な攻撃キャンペーンの両方に対する検出と対応時間の短縮を期待して、脅威を検出して相関させることができます。
• 自動化されたセキュリティ オーケストレーション：FortiXDRは、FortiSOARやFortiNACとの統合を活用することで、動的で自動化された セキュリティ ポリシーの実施を可能にします。例えば、FortiNACを使用して、ネットワーク上の非準拠または侵害されたエンドポイントを隔離し、FortiSOARを使用して、事前に構築されたプレイブックとコネクタを使用して調査と対応プロセスを自動化することができます。
• 脅威の迅速な封じ込め：統合により、確認された脅威を封じ込める能力が向上します。FortiXDRとFortiEDRは、侵害されたエンドポイントの隔離、悪意のあるIPアドレスのブロック、不審なファイルの実行防止に役立つ可能性がありますが、FortiGateファイアウォールとFortiMailメールゲートウェイは、調査中に特定された悪意のあるトラフィックやアドレスをブロックするポリシーを実施できます。
• セキュリティギャップの解消：Fortinet Security Fabricの相互運用性により、ツール間の通信が可能になり、複数のベンダーのポイントソリューションの集合によってもたらされがちな複雑さやセキュリティギャップを解消することができます。FortiXDRとFortiEDRはエコシステム全体で脅威インテリジェンスを共有します。
• 統合オプション：FortiEDRとFortiXDRは、フォーティネット製品とサードパーティソリューションの両方との統合をサポートしています。組織は、APIを通じてSIEM、CASB、IDプロバイダなどのツールに接続し、拡張性の高いセキュリティインフラストラクチャを実現できます。例えば、FortiSandboxは不審なファイルを分析し、ゼロデイ脅威の防止を支援します。また、FortiClientとの統合は、ZTNA（Zero Trust Network Access）の実施をエンドポイントに拡張することを目的としています。

関連コンテンツガイドを読むセキュリティ分析

FortiXDRの限界

FortiXDRは有用な脅威検知および対応機能を提供しますが、導入前に組織が考慮すべきいくつかの制限があります。主な懸念は、FortiXDRが主にフォーティネット製品の限られたセットと統合するように設計されており、独自のデータレイクソースを持っていないため、組織がデータレイクソースをプロビジョニングする必要があることです。このほか、Gartner Peer Insightsでは、次のような制限がユーザーから報告されています：

• 複雑な設定プロセス：FortiXDRの初期設定は、特にフォーティネットのエコシステムに不慣れなチームにとっては困難です。このため、実装と最適化にはかなりの時間と労力が必要です。
• 急な学習曲線：AIによる自動応答のため、セキュリティ・チームがプラットフォームの機能を完全に理解し、適応するには、さらに時間がかかる可能性がある。
• サードパーティとの統合が限定的：FortiXDRはサードパーティのツールをサポートしていますが、その統合機能は競合他社ほどスムーズではありません。フォーティネット以外のソリューションとの相互運用性の向上は改善すべき点です。
• リソースを大量に消費します：FortiXDR はシステム リソースに大きな負荷をかける可能性があり、更新中や大量のテレメトリ データ処理中のパフォーマンスに影響を与える可能性があります。
• プレイブックとワークフローの制限：競合他社と比較して、FortiXDRのレスポンス プレイブックとワークフローは柔軟性が低いため、組織によってはカスタマイズ オプションが制限されます。
• ベンダーロックイン: FortiXDRはFortinet Security Fabric内で最適に機能するため、Fortinet製品への依存関係が生じる可能性があります。このベンダーロックインは、エコシステムで問題が発生した場合にリスクをもたらす可能性があります。
• ブルースクリーンオブデスのリスク：カーネルベースの設計のため、2024年7月に発生したCrowdStrikeの世界的大停電のような障害を引き起こす可能性がある。
• レポートのカスタマイズ：レポーティング・ダッシュボードには改善の余地があり、ユーザーからは、組織のニーズに合わせてカスタマイズ可能なレポーティング・オプションを増やしてほしいという意見が寄せられている。
• 高い保守コスト：FortiXDRのカスタマイズと継続的なメンテナンスは、特にカスタマイズされた構成を必要とする組織にとっては高額になる可能性があります。
• アップデート時の統合への影響：保護の向上を目的としたアップデートは、システム負荷のために一時的にオペレーションを停止させ、ワークフローの中断を引き起こす可能性がある。

Exabeam：究極のフォーティネットXDR代替製品

FortiXDRは、フォーティネットセキュリティファブリック内で検知と対応を行う統合的なアプローチを提供しますが、定義済みの自動化やベンダー固有の遠隔測定に依存しているため、多様なセキュリティ環境での柔軟性と可視性が制限される可能性があります。

Exabeamは、SIEMとUEBAを活用することで、ハイブリッド・インフラやマルチベンダー・インフラにおけるユーザーやエンティティの挙動をより深く洞察する、従来とは異なるアプローチを採用しています。Exabeamは、エンドポイントやネットワークのデータだけに依存するのではなく、何千ものソースからセキュリティログを収集・分析し、行動分析を適用することで、従来のXDRソリューションが見逃していた横の動き、インサイダー脅威、高度な持続的攻撃を検知します。

よりオープンでスケーラブルなプラットフォームにより、Exabeamはセキュリティ・チームがエンドポイント検出以外の脅威シグナルを関連付け、調査を自動化し、脅威の解決を加速できるようにします。

エクザビームは、セキュリティ情報・イベント管理（SIEM）ソリューションのリーディング・プロバイダーであり、UEBA、SIEM、SOAR、TDIRを組み合わせてセキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

主な特徴

• スケーラブルなログ収集と管理：オープンプラットフォームは、ログのオンボーディングを70％高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
• 行動分析：高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
• 脅威対応の自動化：インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
• 状況に応じたインシデント調査：Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
• SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
• NetMonによるネットワークの可視化：ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

Exabeamの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、コスト削減と業界トップクラスのサポートを維持しながら、セキュリティ人材のレベルアップを図り、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。詳細はExabeam.comをご覧ください。