目次
オープンXDRとは?
XDRとは、eXtended(またはCross Platform)Detection&Responseの略である。その目的は、EDR、SIEM、クラウドなど、セキュリティ・スタック上のさまざまなツールを統合し、脅威に関する単一の包括的なビューを提供することです。
オープンXDR (ハイブリッドXDRとも呼ばれる)は、ネイティブまたはベンダー固有のXDRプラットフォームとは一線を画している。 、ベンダーにとらわれず、複数のベンダーのベスト・オブ・ブリード・ツールとの深い統合を実現する。 、高度な分析と現場で検証されたコンテンツを、現場で展開されている既存のテクノロジーと組み合わせることで、複雑さを軽減し、可視性を高め、リスク管理を改善する。オープンXDRオープンXDR
このコンテンツはXDRに関するシリーズの一部です。
オープンXDR対ネイティブXDR
XDRは主に2つのタイプに分けられる:
- オープンXDR- 主にサードパーティとの統合を扱う。
- ネイティブXDR- オールインワンのプラットフォームを提供。
各タイプのXDRプラットフォームは、それぞれ異なるユースケースに適した利点がある。
オープンXDR
オープンXDRは、ITおよびセキュリティ環境に複数のベンダーを導入している組織に適している。より洗練されたセキュリティ・プログラム、そして一般的に、より多くのリソースを持つ大規模な組織のセキュリティ・プログラムでは、複数のベンダーのベスト・オブ・ブリードのセキュリティ・ツールを導入している可能性が高い。オープンなXDRは、ネイティブなXDRの壁で囲まれた方法を採用するために、使用中のフロントエンド・センサーを取り壊したり交換したりする必要がないことを示している。
オープンXDRは、その性質上、他の様々なテクノロジーを首尾一貫した検索スキーマに効率的に統合するために作成される。セキュリティ・スタックの上にオープン XDR を重ね、脅威の検知、対応、調査要件を一元化することで、組織は現在のツールセットを合理化・増強し、その価値と成果を高めることができる。また、セキュリティチームは、オープンなXDRの恩恵を受けながら、新しいツールを追加したり、ベンダーの要素を混ぜ合わせたりすることもできる。
ネイティブXDR
より均質なITセキュリティとインフラを持つ組織にとっては、ネイティブなXDR製品で十分かもしれない。POCを通じて検証する必要があるが、単一のベンダーであれば、そのベンダーのエコシステム内でフロントエンドとバックエンドの機能をより効果的に統合できるという前提がある。
単一のベンダーが発行するセキュリティ製品を使用している組織は、そのベンダーのXDRが自然な選択であることに気付くかもしれない。しかし、特にそのベンダーが主要な検出機能を提供していない場合、深さとカバー範囲の両方にギャップが生じる可能性があります。単一のネイティブ XDR ベンダーは、すべての攻撃ベクトルに対する包括的なセキュリティ・カバレッジ・レベルを提供することはできず、また、カバーするすべての領域において機能の深さを備えていない可能性があります。IBMとPonemonの2021 Breach Reportは、情報漏えいの解決には通常19のツールのデータが必要であると指摘している。1つのベンダーから19の適切なツールを見つけることは、並大抵のことではない。
さらに、このアプローチでは、顧客がベンダーロックインを経験する可能性がある。つまり、他のベンダーが製造した優先的なツールをあきらめ、XDRベンダーが製造したツールで解決しなければならない可能性がある。これは、例えば、組織がネイティブXDRを採用するために、EDRを壊して交換しなければならないことを意味するかもしれない。
オープンXDR対SIEM:ソリューションの比較
セキュリティ情報・イベント管理(SIEM)システムは、XDRプラットフォームの前身である。XDRのように、SIEMは組織全体やさまざまなツールからデータを収集し、脅威の検出、調査、対応(TDIR)のためにログやイベントを整理します。ある面では、SIEM は XDR よりも広い範囲をカバーし、長期的なデータ保存やコンプライアンス・レポートのような機能を含みます。
多くのセキュリティ・オペレーション・センター(SOC)では、XDRがSIEMに完全に取って代わる可能性は低い。両システムは共存し、それぞれが異なる機能を果たすことになるでしょう。以下では、SIEMとオープンなXDRの主な違いについて説明します。
| シーイーエム | オープンXDR | |
|---|---|---|
| ドメインの範囲 | 脅威の検出、調査、対応(TDIR)、レポーティング、コンプライアンス、集中ストレージを含むマルチドメイン対応。 | シングル・ドメイン・カバレッジ(TDIR)。 |
| デザイン・アプローチ | カスタマイズと "緊急事態 "のために作られた。 | 効率的なTDIRを中心に作られた。 |
| データロケーション | 一般に、データはSIEMに一元管理されなければならないと仮定している。 | 一般的に、データはどこにでも保持される可能性があり、かつ/または長期的に保持する必要はないと想定されている。 |
| デリバリー・モデル | クラウド配信、オンプレミス、またはその両方が可能。 | クラウド配信。 |
| ストレージ | 無限に拡張可能なストレージを提供する。 | 必ずしも長期保存ができるわけではない。 |
| 検出アプローチ | 一般的に相関ベースの分析が中心。 | 一般的に、機械学習ベースの高度な分析を提供する。 |
| オートメーション・アプローチ | 一般的に、自動化、柔軟性の高いオーケストレーション、TDIRおよび非TDIRユースケース用のプレイブックを提供する。 | 一般的に、自動化を提供する。プリパッケージされた、ユースケースに特化したTDIRは、規定オーケストレーションとプレイブックを備えている。 |
| マーケットポジション | 一般的に、CLM、レガシーSIEM、データレイクを置き換えるか、置き換える。 | 一般的にCLM、レガシーSIEM、データレイクを補強する。 |
この比較では、相違点のみを取り上げる。セキュリティ・ツールとのオープンな統合、長期保存、効率的な検索と脅威の発見、クラウド・ナティビティなど、さまざまな技術的共通点もある。
XDRとSIEMの比較についての詳しい解説をお読みください。
オープンXDR対SIEM:3つの技術的な違い
オープンXDRには、SIEMとのアーキテクチャ上の違いが4つある。
1.データの正規化と分析
XDRでは、データは強制的にエンリッチされ、正規化された状態になり、これはデータがデータレイクに保存される前に実行される。SIEMは一般的に、元のログやイベントソースから元の形式でデータを保存する。
XDRの場合、アラートの相関と検出はAIによって自動的に行われるが、SIEMの場合は人間が書いた相関ルールを使って関心のあるイベントを作成する。これには専門的な知識や経験が必要な場合が多く、すべてのスタッフに備わっているわけではない。
XDRの前処理段階は、意味のあるAIを構築し、維持するために必要なデータ品質と標準化の問題に対処する。セキュリティにおいては、データの複雑さを最小限に抑えるために、データを一元化し、充実させ、正規化しなければならないことを示している。プラットフォームの展開ごとにデータが異なる方法でモデル化されれば、AIモデルを維持することは不可能になる。
XDRは、データがData Lake;濃縮または正規化された状態でのみ利用可能である。
SIEMはこの機能をオプションとして提供するか、提供しないかのどちらかである。オプションのシナリオでは、エンリッチメントと正規化は、既にストレージにある生データに対する後処理ステップとしてアプローチされる。そのため、SIEMアーキテクチャはXDRと同等の忠実度を持つAIエンジンを作り出すのに苦労している。SIEMがAIを活用することは可能だが、その規模を拡大することはより困難になるだろう。
2.アラートトリアージ
XDRでは、相関するアラートからインシデントが作成され、そこから同じプラットフォーム上の1つのレスポンスがオーケストレーションされる。これに対し、SIEMはアラートを別のSOARプラットフォームに送信し、SOARプラットフォームはダウンストリームでレスポンスと相関処理を実行する。
オープンXDRは、プラットフォームの一部として対応と相関を実行する。個々のセキュリティ・イベントから高次の構成要素が構築され、 プラットフォームが全体としてインシデントに対応する。オープンXDR
対照的に、SIEMはアラートをSOARに渡す。SOARは、環境で発生するすべてのことを深く分析することなく、限られたルールセットとアラートを相関させなければならない。オープンXDR、SOARやSIEMが行うようなレスポンスを作成するが、XDRはAI主導の相関と検出を使用し、すべてのデータにアクセスできるため、レスポンスの忠実度は著しく向上する。
3.統一ツーリング
XDRモデルでは、UEBA、データレイク、SOAR、TIP、EDR、NDRなど、セキュリティ運用に必要なツールが1つのプラットフォームに統合されている。SIEMにはデータレイクしか含まれていないため、SIEMユーザーはさまざまな複雑なツールを自分で統合しなければなりません。SIEMソリューションの多くは、詳細なカスタマイズやプラグインの拡張リストを提供するが、システムの設定や構築の責任はユーザーやインテグレーターにある。
この違いによる主な影響は、セキュリティ・プラットフォームを運用するために必要な時間、資本、リソースである。SIEMはオープンエンドのテクノロジーであるため、運用コストが高い。オープンXDRプラットフォームは規定型のテクノロジーであるため、組織はより効率的に採用することができる。
オープンXDR vsSIEM:組織に適しているのはどちらか?
もし、機能カバレッジが異種スタック上のTDIRだけに集中しているのであれば、その機能に対応したツール(オープンXDR)の方が良い選択かもしれない。これは、SIEMのような汎用的なツールよりも価値を見出すまでの時間が短い。
しかし、機能範囲がTDIRを超える場合は、SIEMが最適かもしれない。XDRはこれらの追加要件に対応できないかもしれない。例えば、集中型ストレージやコンプライアンスが関係する場合などである。
組織は、TDIR に関する特定の要件から着手し、ログやコンプライアンスの一元管理など、セキュリティ運用のさまざまな部分に範囲を広げたいと考えるかもしれない。このような組織は、コンプライアンス・パッケージやストレージ、TDIR 以外のダッシュボード機能の追加など、フル機能を備えた SIEM へのアップグレードパスが簡単なオープン XDR を提供するベンダーを見つけなければならない。
上記にかかわらず、組織は、基本的なユースケースから高度なユースケースまで、あらかじめパッケージ化されたコンテンツを提供するツールを優先しなければならない。
エクサビームオープンXDR
Exabeam Fusion XDRクラウド型ソリューションであるオープンXDRは、成果ベースのアプローチを採用し、脅威の検知・調査・対応(TDIR)を効率的に行うための処方的なワークフローと、あらかじめパッケージ化された脅威に特化したコンテンツを提供する。
何百ものサードパーティセキュリティツールとの事前構築済みの統合と、市場をリードする行動分析により、複数の製品からの弱いシグナルと通常の動作の理解を組み合わせ、他のツールでは見過ごされる複雑な脅威を発見します。特定の脅威タイプに特化した所定のワークフローと事前パッケージ化されたコンテンツにより、SOCはTDIRをより成功に導きます。トリアージ、調査、対応活動を単一の集中制御プレーンで自動化することで、アナリストの生産性を飛躍的に高め、対応時間を短縮します。
Exabeamについてもっと知る
ホワイトペーパー、ポッドキャスト、ウェビナーなどのリソースで、Exabeamについて学び、情報セキュリティに関する知識を深めてください。
-
ブログ
What’s New in New-Scale April 2026: Securing the Agentic Enterprise With Behavioral Analytics
