Fortinet MDRを理解する：ソリューションの概要、長所と短所

FortiGuard MDRとは？

FortiGuard Managed Detection and Response（MDR）は、継続的な監視、アラートトリアージ、脅威ハンティング、インシデントレスポンスを通じてエンドポイントセキュリティを向上させることを目的とした24時間365日のサービスです。FortiEDRおよびFortiXDRプラットフォームと統合し、エンドポイント保護ツールと脅威インテリジェンスにアクセスします。

このサービスはフォーティネットのセキュリティアナリストチームによって運営され、FortiEDRおよびXDR製品からのみセキュリティインシデントに対処できるよう組織を支援します。FortiGuard MDRはアラートを管理し、組織のリスクプロファイルに基づいて脅威を封じ込め、改善ガイダンスを提供することを意図しています。

これはFortiSIEMに関する一連の記事の一部である。

FortiGuard MDRの主な特長

FortiGuard MDRは、以下の主要機能を提供します：

• 脅威の検出と分析：FortiEDRによって特定された脅威の監視と分析を提供します。アナリストはアラートを確認し、潜在的な脅威を探し、脆弱性を評価します。静的および動的なマルウェア分析を実施し、システム メモリ分析によって悪意のあるプロセスを検出します。推奨図書：インサイダーの脅威：種類、例、防御戦略。
• 脅威ハンティング：脅威アナリストは、お客様の環境内の脅威を探します。Windowsイベントログ、スケジュールタスクログ、ブラウザのアクティビティなどのフォレンジック・アーチファクトを収集・調査し、悪意のあるアクティビティの発見に役立てます。
• インシデント対応と封じ込め：侵害されたホストが特定されると、MDRチームは封じ込め戦略を用いて脅威の隔離を試みる。アクションには、悪意のあるプロセスの終了、通信のブロック、ファイルの削除などが含まれます。FortiEDR プレイブックを使用してこれらの手順を自動化し、MDR チームが追加の設定やセキュリティ ポリシーの更新を行います。
• 修復ガイダンス：MDRチームは、短期的な戦術的ステップ（レジストリのクリーンアップなど）と長期的な戦略に関する修復アドバイスを提供します。
• レポーティングとアラート:セキュリティイベントは分析され、脅威の説明や改善勧告を含むインシデント通知でフォローアップされます。重要なインシデントは、優先的に対応するためにエスカレーションされ、電子メールまたは電話で追加情報を要求することができます。
• SOC サポート：このサービスは、既存の SOC チームの能力を補完し、アナリストの燃え尽き症候群を軽減します。また、若手のアナリストがより重要なセキュリティ業務に専念できるようになります。

推薦図書：SIEMとは何か？7つの柱と13の中核機能ガイド

Fortinet MDRサービスの仕組み

EDR導入のサポート

エンドポイント検出・対応（EDR）ソリューションの導入と管理には、ある程度の専門知識と時間が必要です。誤った設定や適切なチューニングの欠如は、組織の攻撃対象領域を不注意に拡大する可能性があります。

Fortinet MDRは、環境チューニング、例外管理、製品の最適化などのタスクを処理することで、これを解決することを目的としています。これは、FortiEDRやFortiXDRなどのEDRツールを正しく活用して脅威から保護することを目的としています。

EDR導入の緩和

フォーティネットのMDRは、EDRを採用する組織の学習曲線を短縮しようと試みています。アプローチの違いや効果的な導入に必要な追加作業のために、従来のアンチウイルスソリューションからEDRへの移行に苦労している組織は少なくありません。フォーティネットの専門家は、導入、継続的モニタリング、脅威ハンティング、インシデントレスポンスの管理を支援します。

このチームは組織と協力し、プレイブックを通じて役割と責任を定義し、脅威への協調的な対応をサポートすることを目的としている。また、推奨事項やエスカレーション通知も提供します。

サービス体制

Fortinet MDRは時間単位のサービスを提供しています。組織はこの仕組みを利用して、長期契約を結ぶことなく、サービスの価値をテストしたり、新しいテクノロジーを導入したり、既存の機能を強化したりすることができます。

FortiGuard MDRの制限事項

FortiGuard MDRサービスを評価する場合、組織は以下の主な制限事項を考慮する必要があります：

• フォーティネットのエコシステムへの依存：FortiGuard MDRは、アラートとFortiEDRおよびFortiXDRのチューニングのみを対象としています。より包括的なMDRサービスを求める組織は、別のオプションを利用する必要があります。
• プレイブックを超えるカスタマイズの制限：FortiGuard MDRはカスタマイズされたプレイブックを提供しますが、カスタマイズのレベルは、従来とは異なるワークフローを持つ高度に専門化された環境の固有のニーズを十分に満たさない可能性があります。
• リソースへの依存：このサービスによって運用の負担は軽減されるとはいえ、企業がより広範なセキュリティ運用を管理し、MDRチームと効果的に連携するには、依然として社内の専門知識が必要である。
• レスポンスタイムのばらつき：脅威レスポンスの質とスピードは、インシデントの複雑さ、検知メカニズムの正確さ、顧客が推奨事項を迅速に実行する能力などの要因に左右される。
• データ・プライバシーに関する潜在的な懸念：MDRはエンドポイントの活動を深く分析するため、組織によっては、たとえ厳格なデータ取り扱いポリシーが適用されていても、機密データを外部のサービス・プロバイダーと共有することに懸念を抱く場合がある。
• 物理的なインシデントサポートがない：FortiGuard MDRはリモートで動作するため、オンサイトでのインシデント対応を必要とする組織は、MDRサービス以外の追加サービスを求める必要があります。
• プロセスに対するコントロールの制限：アウトソーシング・モデルは、検知と対応の特定の側面に対するコントロールを第三者に委ねることになるため、組織によっては魅力に欠けると感じるかもしれない。

関連コンテンツ：Fortinetの競合他社に関するガイドを読む

MDRパートナーとのExabeam Fusion SIEM

今日のセキュリティ・チームは、これまで以上に迅速に脅威を検知、調査、対応しなければならないという大きなプレッシャーにさらされています。しかし、膨大な量のアラートと現代のサイバー攻撃の複雑さが相まって、組織が対応し続けることは困難です。Exabeam のAI主導型セキュリティ・オペレーション・プラットフォームを活用するマネージド・ディテクション＆レスポンス（MDR）プロバイダーやMSSPは、ノイズを減らし、真の脅威に優先順位を付け、より迅速で効果的なインシデント対応を実現することで、大きなアドバンテージを得ることができます。

Exabeamを使用することで、MDRプロバイダーは、脅威の検出、相関、対応を自動化することで、平均修復時間を短縮し、調査ワークフローを加速することができます。例えば、The Missing Link は、より一貫性のある標準化された検知とレスポンス・アクションにより、顧客が迅速かつ信頼性の高い保護を受けられるようになり、SLA 目標の 50 パーセントを達成したと報告しています。同様に、r-tec CDCは、平均認識時間を50%短縮し、平均9分、解決時間を平均17分に短縮しました。これにより、同社のアナリストは、誤検知に溺れることなく、優先度の高い脅威に集中できるようになりました。

MDRやMSSPのワークフローとシームレスに統合することで、Exabeamはサービスプロバイダに、より多くの脅威を迅速に検知し、誤検知を最小限に抑え、運用効率を高める能力を提供します。従来のSIEMに依存しているセキュリティ・プロバイダーは、リアルタイムの保護に対する需要の高まりに対応するのに苦労しています。しかし、Exabeamを利用しているプロバイダーは、より迅速で正確な脅威の検知と対応を実現する、AIを活用したプロアクティブなセキュリティ・サービスを自信を持って提供することができます。

セキュリティ・オペレーションを強化したいMDRプロバイダーも、信頼できるサービス・プロバイダーをお探しの組織も、Exabeamは、セキュリティ・チームが脅威を早期に検知し、インシデントを迅速に調査し、自信を持って対応できるよう支援します。

詳細はこちらExabeam Fusion SIEM