目次
XDRソリューションとは?
XDRsecurityツールは、クロスレイヤーの検知・対応機能を提供します。XDRツールは、ネットワーク、クラウド、電子メール、エンドポイント、OTデバイス、サーバー、アプリケーションなど、複数のセキュリティレイヤーからデータを収集し、関連付けます。XDRは、企業環境の可視性を向上させるクラウド配信の全体的なアプローチを提供します。これにより、セキュリティチームは迅速かつ効果的に脅威を特定、調査、対応することができます。
XDRの主な利点は、深いアクティビティ・データを収集し、すべての情報を統合ソリューションに集約することである。XDRを使用することで、複数の別々のツールから延々と送られてくるイベントに目を通す必要がなくなります。その代わりに、XDRはデータの単一のビューを提供し、セキュリティチームが簡単に論理的な関連付けを行い、迅速に脅威を緩和することを可能にします。
XDRがどのような課題を解決するために設計されたのか、XDRの基本的な機能、そしてXDRが他のソリューションにはない方法で組織のセキュリティ体制をどのように強化できるのかを理解するためにお読みください。
このコンテンツはXDRに関するシリーズの一部です。
XDRセキュリティが取り組む課題とは?
XDRセキュリティは、以下のようないくつかの課題を解決するのに役立つ:
注意力疲労
組織は、「一匹狼」、国家、ハッキング・グループ、悪意のある内部関係者など、さまざまなタイプの攻撃者に狙われている。デジタル資産を監視するために、組織は多くの場合、バラバラのセキュリティ・ツールを導入する。そして、セキュリティ・チームは、これらのツールや他のサプライヤーによって生成されたデータを選別する必要がある。このようなセットアップでは、大量の誤検知を含むアラート過多が発生する可能性があります。データ分析機能やインシデントレスポンスがなければ、誤検知はアラートの疲労につながります。
リソース不足
セキュリティ担当者は、必要以上に少ないリソースと厳しい予算制約の中で、より多くのことをこなさなければならないことが多い。組織は、セキュリティ担当者やリソースに過度の負担をかけることなく、レガシーエンドポイントやクラウドワークロードを含むすべてのテクノロジー資産を防御する方法を必要としています。XDRセキュリティソリューションは、社内スタッフの労力をサポートし、生産性を向上させるために必要な一元化された検知・対応機能を提供します。
集中化の欠如
脅威の主体は、より複雑な戦術、技術、手順(TTP)を使用して、従来のセキュリティ管理を悪用するようになっています。その結果、組織は従来のネットワーク境界の内外に存在する脆弱な資産のセキュリティ確保に苦慮することになります。XDRツールは、組織やセキュリティ・オペレーション・センター(SOC)が、関連するすべてのセキュリティ・データをインテリジェントにまとめ、対応アクションを自動化し、高度な敵対者を特定するのに役立ちます。
オープンXDR対ネイティブXDR
ここでは、XDRの2つの主な種類と、それらを区別する側面について説明する:
ネイティブXDR
ネイティブ XDR は、セキュリティ・スタックと統合し、検知と対応のためのテレメトリ・データを収集する単一ベンダーのソリューションである。ネイティブXDRソリューションは、すべての脅威検知と分析プロセスを処理し、一元化する単一プラットフォームを提供する。これにより、統合を実装する必要がなくなる。しかし、ネイティブの XDR ツールを導入するには、既存のツールを置き換える必要があります。
オープンXDR
オープンな(またはハイブリッドな)XDRは、他のセキュリティ・ツールと統合するマルチ・ベンダー(ベスト・オブ・ブリード)のソリューションであるが、既存のツールを削除する必要はない。このため、企業は既存のセキュリティ・スタックをXDRで補強し、運用を単一の管理プレーンに一元化することができます。しかし、オープンなXDRソリューションを選択する前に、そのソリューションが十分な統合機能を提供していることを確認することが重要です。
関連コンテンツ: オープンXDR (coming soon)
XDRの主な機能
XDR セキュリティ・ソリューションは、環境全体にわたって収集された生データにアクセスできます。XDRソリューションは、アクティビティデータの自動分析と相関を行い、正規のソフトウェアを使用してシステムにアクセスする脅威行為者を検出します。
XDRソリューションは通常、以下の機能を提供する:
- テレメトリとデータ分析– XDRソリューションは、エンドポイント、ネットワーク、サーバー、クラウド環境など、複数のセキュリティレイヤーにわたってデータを監視および収集します。次に、XDRツールはデータ分析を使用して、数千ものアラートからのコンテキストを関連付け、優先度の高い少数のアラートを検出します。これにより、アラート疲れを防ぐことができます。
- 検出-XDRツールは、特定の環境における正常な動作のベースラインを作成するために必要な可視性を提供します。これにより、正規のソフトウェアを使用している脅威を検出することができます。また、この情報は、脅威の発生源を調査し、それがシステムの他の部分に影響を及ぼすのを阻止するのに役立ちます。
- 対応 -XDR ソリューションは、検出された脅威の封じ込めと除去を自動化するのに役立ちます。また、このツールはセキュリティ・ポリシーを更新し、将来同様の侵害が発生しないようにすることもできます。
関連コンテンツ XDRソリューションズ
XDRがセキュリティを強化する10の方法
XDRはセキュリティ体制を強化し、以下のことを可能にします:
- 攻撃をブロック -XDRは、AIベースの分析と行動脅威防御を提供し、エクスプロイト、マルウェア、ファイルレス攻撃など、既知および未知の攻撃を阻止することができます。
- 可視性の向上 -XDR は、ネットワーク、エンドポイント、クラウド環境全体のデータを収集および相関させ、検出、トリアージ、調査、ハンティング、および脅威対応プロセスに適用します。
- 24時間365日の自動検知 -XDRは、高度な永続的脅威(APT)だけでなく、横方向への移動、悪意のあるインサイダー、侵害されたインサイダーなど、その他のあらゆる秘密攻撃を検知するのに役立つカスタムルールだけでなく、AIベースの分析を継続的に適用します。
- アラート疲労の防止 -XDRは、統合インシデントエンジンとともに自動根本原因分析を使用してアラートをトリアージし、アラートを大幅に削減します。これにより、アラートの疲労を防ぎ、担当者の離職を防ぎ、インシデント対応を合理化することができます。
- SOCの生産性向上 -XDRは、ネットワーク、エンドポイント、クラウド全体のセキュリティポリシー管理、監視、調査、対応を1つのコンソールに統合します。
- 脅威の根絶 -XDRを使用することで、チームはビジネスを中断させることなく、外科的な精度で攻撃をシャットダウンできます。
- 高度な脅威の排除 -XDRは、悪意のある内部関係者、危険な内部関係者、外部からの脅威、ポリシー違反、ランサムウェア、高度なゼロデイマルウェア、ファイルレス攻撃やメモリのみの攻撃から企業ネットワークを保護します。
- セキュリティチームの改善 -XDRは、侵害の指標(IOC)や異常な行動を検出するのに役立ちます。また、インシデントスコアリングを使用して分析の優先順位を付けることもできます。これにより、攻撃のすべての段階を妨害することができます。
- ホストをクリーンな状態に復元 -XDRは、攻撃から迅速に回復するための修復案を提供できます。たとえば、悪意のあるファイルやレジストリキーの削除方法、破損したファイルやレジストリキーの復元方法などです。
- サードパーティデータソースの分析 -XDRを使用すると、検出、調査、および対応を外部ソースに拡張できます。例えば、サードパーティのファイアウォールから収集したログに対して行動分析を実行することができます。
Exabeam によるXDRセキュリティ
Exabeam Fusion XDRは、市場をリードする行動分析、アラートトリアージ、脅威ハンティング、 ™、事前構築済みの調査プレイブック、TDIRワークフローの自動化、および数百ものサードパーティ製セキュリティツールや生産性向上ツールとの統合を提供し、レガシーツールでは見落としがちな複雑な脅威の発見を可能にします。スマートタイムライン
他のXDR製品では、データ収集エージェントの導入が必要ですが、フュージョンXDRは、ログやアラートデータを既に収集している既存のセキュリティコントロール、ビジネスアプリケーション、ITツールと連携することで、より迅速な導入と時間短縮を実現します。このデータを利用可能にした後、フュージョンXDRは、外部からの脅威だけでなく、侵害された、または悪意のある内部犯行を示す異常な行動を分析し、特定します。
Exabeamは、脅威のライフサイクル全体にわたって構築された自動化機能と組み合わせることで、企業は自社の環境を保護するための新たなアプローチを取ることができ、SOC全体の生産性と有効性を大幅に向上させることができます。
その他のXDR解説