XDRとSIEMの比較：現在の機能と今後の展開

XDRとは？

XDR（EXtended Detection and Response）サービスは、脅威の検出、調査、対応（TDIR）機能を提供します。XDRサービスは、スタック内のさまざまなセキュリティ・ツールからのさまざまな脅威に対して、相関性のあるインプット・カバレッジを提供し、迅速なTime-to-Valueを実現します。XDRサービスは、効率的に実行し、人的資源を最大限に活用するために、高度な分析と自動化を採用しています。

XDRソリューションはクラウドに対応しており、クラウドで提供される傾向にある。XDRベンダーは、ウェブサーバーに対する単純なハッカーツール攻撃から、ランサムウェアやデータ流出による横移動などの高度な複合型脅威まで、さまざまな脅威中心のシナリオをカバーしています。XDR ソリューションは、異種環境に対応できるように設計されており、ターンキー・ソリューションとして即座に価値を生み出すことができます。

SIEMとは何か？

セキュリティ情報・イベント管理（SIEM）ソリューションは、セキュリティ情報管理（SIM）機能とセキュリティ・イベント管理（SEM）機能を組み合わせて使用し、これらを1つのプラットフォームに集中させる。

SIEMプラットフォームは、ITエコシステム全体に収集エージェントを配備し、エンドユーザデバイス、ネットワーク監視デバイス、サーバシステムログのほか、境界ロードバランサやファイアウォール、侵入防御/検知システム（IPS/IDS）、ウェブアクセスファイアウォール（WAF）、アンチウイルスなどのセキュリティデバイスを含む複数の場所から、セキュリティ関連のログやアラートイベントを集約します。

収集エージェントは、イベントを中央データリポジトリに転送し、ラベル付けされた重大度やタイムスタンプによってイベントをソートし、集中管理コンソールでレビューすることを任務とします。SIEM により、セキュリティ・アナリストは、配信されたイベントとアラートを確認し、インシデントのためにこのデータを調査することができます。

さらに、SIEMはPCI、SOX、HIPAA、GDPRなどのコンプライアンス・レポート機能を提供することが多い。

XDRの能力とは？

脅威検知- XDRソリューションは、データセンターを通過するトラフィック（East-Westトラフィックとして知られる）と、データセンターと他のネットワーク間を流れるデータ（North-Southトラフィックとして知られる）の両方を分析します。侵入検知を向上させるだけでなく、ネットワーク内に既に存在する脅威を特定することで、ゼロトラスト・セキュリティ・モデルをサポートします。XDR は、イベント・データと脅威インテリジェンスを組み合わせ、行動分析を使用して、ゼロデイ脅威を含む環境内の疑わしいアクティビティや異常なアクティビティを特定します。

インシデントレスポンス -XDR ソリューションは、セキュリティチームが環境で検出された脅威に対応するためのさまざまなツールを提供します。アラートは優先順位付けされ、攻撃ケースに集約されるため、セキュリティアナリストはフォレンジック分析を追加することなく、攻撃の完全な背景を確認することができます。XDR ソリューションは、インシデント調査と攻撃対応のための単一の中央ユーザー・インターフェースを提供します。また、セキュリティ・オーケストレーションにも対応しているため、セキュリティ・チームは脅威の監視とトリアージに使用しているのと同じインターフェースから攻撃に対応することができます。

マイクロセグメンテーション -XDRソリューションは、ワークロード、アプリケーション、ユーザーレベルでのマイクロセグメンテーション機能を提供します。これにより、ベアメタルやマルチクラウドのデータセンターでセキュリティポリシーやアクセス制御を一貫して実施できるようになり、攻撃対象領域を縮小して横方向の移動を防止できます。

エンドポイントの制御 -プロセスのホワイトリスト化およびブラックリスト化により、エンドポイントの動作に対する制御が向上します。これにより、固定機能やIoTデバイスなど、リスクの高い環境をロックダウンすることが可能になります。

生産性の向上 -セキュリティチームは、情報やコンテキストに欠けるアラートに圧倒され、意味のあるアラートを発見しても、複数の異なるツールを使用して調査し、対応しなければなりません。XDRは、AIを使用して攻撃のタイムラインを自動的にまとめ、関連するインシデントのトリアージ、特定、調査にかかる時間を短縮することで、運用効率を高めます。また、アラートの調査と対応のための統合プラットフォームも提供します。

効率性と拡張性 -XDRソリューションは、統合プラットフォームとして提供されるため、迅速な導入と迅速な価値提供が可能です。一般的にクラウドベースであり、組織のデータニーズに応じて動的に拡張することができます。

従来のSIEMの機能とは？

SIEMソリューションは20年以上にわたって市場に提供されており、ファイアウォールや侵入検知センサーのみを監視するものから、クラウドやネットワーク・セキュリティのあらゆる種類の製品を監視するものへと改良されてきた。ここでは、SIEMプラットフォームの伝統的なコア機能を紹介する：

ログ管理- SIEMソリューションは、複数のITシステムからログを収集し、標準化された一元的に保存されたデータセットに統合します。

イベント相関 -SIEMはログ・データを分析し、相関ルールと統計分析を使用して、セキュリティ・インシデントの可能性を特定します。例えば、SIEMは、複数のエンドポイント、サーバー、クラウドサービスにわたって、同じユーザーによるログインの失敗を特定することができます。

脅威インテリジェンス– SIEMは、攻撃者のID、ブラックリストに登録されたIPアドレスソース、既知の攻撃パターンなど、追加のコンテキストでセキュリティイベントを充実させる脅威インテリジェンスフィードと統合します。

セキュリティ・アラート -SIEM は、SIEM インターフェースを通じて、あるいはさまざまな通知チャネルにプッシュして、セキュリティ・チームにアラートを送信する。アラートはイベントに関する詳細な情報を提供し、アナリストがインシデントをトリアージしてさらに調査できるようにします。

データ探索- SIEMはイベントデータを保存し、熟練したセキュリティアナリストが、インシデント調査やプロアクティブな脅威探索の一環として、多くの場合SQLクエリを使用して、一定期間にわたってセキュリティデータを検索・探索できるようにします。

コンプライアンス・レポーティング -SIEM は、大規模なセキュリティ・インフラストラクチャの中で一元化されたハブとして位置付けられ、多くの場合、PCI DSS、SOX、GDPR、HIPAA などのコンプライアンス義務に対応したパッケージ・レポーティングをサポートします。

従来のSIEMの課題とは？

従来のSIEMの主な課題はアラート疲労である。SIEMは大量のアラートを生成し、その中には誤検知もあるため、セキュリティチームはすべてのアラートをトリアージして調査するために大きな負担を強いられる。SIEMやセキュリティエンジニアの中には、ファイアウォールやIDS（またはその他の「ノイズの多い」ツール）の出力を精巧にチューニングしてSIEMへの影響を低減し、アラート疲労を軽減するとともに、ログの保存や処理にかかるコストを削減しようとする者もいる。

次世代SIEMは、機械学習に基づく高度な分析を導入することで、これを解決することを目指している。

次世代SIEMの機能とは？

2019年、ガートナーは、機械学習ベースの分析とレスポンスの自動化を最も重要視し、追加機能を含む次世代SIEMのビジョンを紹介した。それ以来、次世代SIEMソリューションは、すべての基本的なSIEM機能と、以下のいくつかの機能を提供するソリューションとして導入されている：

ユーザーとエンティティの行動分析（UEBA）- 次世代SIEMは、環境内のユーザー、グループ、マシン、アプリケーションの行動プロファイルを作成し、セキュリティ・インシデントを示す可能性のある異常を特定するUEBAテクノロジーを提供します。

セキュリティのオーケストレーションと自動化対応（SOAR）- 次世代SIEMはオーケストレーション機能を提供し、ITツールやセキュリティツールと統合して、複数のシステムにまたがるマルチステッププロセスを制御できるようにします。また、セキュリティ・プレイブックを使用してインシデントの検出、調査、対応の自動化を実現し、SIEM がセキュリティ・インシデントや侵害に自律的に対応できるようにします。

追加ソースからのデータ収集 -現代のIT環境は、従来のネットワーク境界を越えて広がっています。次世代 SIEM は、クラウド・サービス、BYOD、IoT デバイス、その他の新しいデータ・ソースからデータを収集できます。

スケーラブルなデータ・ストレージ -次世代SIEMは、データレイク・テクノロジーを使用して、より大量のデータを低コストで保存します。これにより、大容量のセキュリティ・データを長期にわたって保持することが可能になります。

XDR-Exabeam Fusion SIEMのような次世代 SIEM には、イベントコンテキスト、分析、TDIR のユースケースを改善するためのアプリケーションと機能のスイート内に XDR が含まれています。

次世代SIEMは、以下のような方法でセキュリティ運用を改善することができる：

• UEBAを活用して偽陽性を減らす
• 侵害の指標（IoC）を特定の脅威の種類に一致させることで、イベントの対応時間（TTR）と調査時間（TTI）を短縮する。
• 複数のイベントを1つの攻撃タイムラインにまとめる
• 応答の自動化により行動までの時間を短縮

SIEMとXDRの比較

SIEMとXDRは技術的には似ているが、目的は異なる。

次世代SIEMとXDRの主な違いは以下の通りです：

• 機能範囲 -SIEMは、脅威の検出、コンプライアンス、ストレージ、レポーティングなど、複数の機能を提供します。XDRは、脅威の検出、調査、対応（TDIR）という1つの機能に焦点を当てています。
• カスタマイズ-SIEMはエッジケースのために無制限のカスタマイズが可能だが、XDRは主に効果的なTDIRのために設計されている。
• データの保存 -SIEM はセキュリティ組織の中央データストアとして機能し、長期保存をサポートする一方、XDR は通常、他のソースからデータにアクセスし、分析のために一時的に保存する。
• デリバリーモデル -SIEMはオンプレミスまたはクラウドベースで提供されるが、XDRは主にクラウドで提供される。
• 自動化-SIEMは、セキュリティプレイブックとその他のITプレイブックの両方を使用して、高度にカスタマイズ可能なオーケストレーションと自動化を提供できます。XDRは、特定のTDIRユースケース向けに、あらかじめパッケージ化されたプレイブックを提供しています。
• 市場での位置づけ-次世代SIEMは、従来のSIEMやセキュリティ・データレイクに取って代わりつつある。XDRは通常、従来のSIEMやデータレイクを補強するものです。

投資の選択次世代SIEMとXDRの比較

次世代SIEMはいつ使うべきか？

次世代SIEMは以下のような用途に最適です：

• 新たな攻撃パターンや内部脅威を含む未知の脅威の特定
• カスタマイズ可能なデータ探索
• 最新のIT環境で増大するセキュリティ・データの一元的なデータ・ストアとログ保持
• 高度にカスタマイズ可能なレスポンスの自動化とオーケストレーション
• 従来のSIEMと同様のコンプライアンスとレポーティングのユースケース

XDRはいつ使うべきか？

XDRは次のような場合に最適である：

• 既存のSIEMへの投資はすでに実施されており、チームはTTRとTTIを改善するためにアナリストの能力を強化しようとしている。
• 既知および未知の脅威を特定し、脅威カテゴリーに即座に割り当てる。
• 一般的な脅威のユースケースに対応した、パッケージ化されたコンテンツを使用した迅速で効果的なTDIR
• 重要な脅威への手動および自動応答をサポートする
• セキュリティアナリストの生産性向上とレスポンスタイムの短縮

次世代Fusion SIEMとFusion XDRとExabeam

Exabeam Fusion XDRは、成果ベースのアプローチを採用し、脅威の検出、調査、対応（TDIR）を効率的に行うための処方的ワークフローと、あらかじめパッケージ化された脅威固有のコンテンツを提供するクラウド型ソリューションです。何百ものサードパーティ製セキュリティ・ツールとあらかじめ統合されており、市場をリードするExabeamの行動分析では、複数の製品からの弱いシグナルを組み合わせることで、他のツールでは見逃していた複雑な脅威を発見します。トリアージ、調査、対応作業の自動化により、アナリストの生産性を飛躍的に高め、対応時間を短縮します。

Exabeam Fusion SIEMは、クラウドベースのログストレージ、検索、コンプライアンスレポートなど、次世代SIEMの全機能に組み込まれ、脅威の検出、調査、対応を行う業界最先端のFusion XDRを提供するクラウド型次世代SIEMです。