"EDR (Endpoint Detection & Response) の進化形" - Forrester
「日本の脅威レポート」XDR (Extended Detection and Response) は、包括的な脅威の検出と対応の効率を改善します。 XDRは、クラウドネイティブでクラウドスケーラブルなセキュリティソリューションであり、さまざまなテレメトリソースを統合し、変換できます。 Forrester は、XDRを「 エンドポイントの検出と応答の進化」(EDR)と定義しています。
ボーダレスな環境が進み、クラウド間をデータが飛び交い、脅威アクターにとってこれまで以上に好都合な環境が生まれている昨今、EDRは、よりプロアクティブかつ網羅性に富んだものであるべきでしょう。また、諸々が事前に定義されている必要もあります。XDRは、脅威の早期発見と、早期対処、修復を実現します。 Gartnerは、XDRを「複数のセキュリティ製品を、包括的なセキュリティ運用システムに、統合する検出およびインシデント対応ツール」であると述べています。
また、Enterprise Strategy Group(ESG)は、XDRセキュリティは「RSAとBlack Hatの次の話題になるトピックだけでなく、サイバーセキュリティを加速度的に進化させる」としています。 XDRが製品なのかソリューションなのか、という議論は、引き続き継続しています。 セキュリティ情報およびイベント管理(SIEM)の進化?
現時点でもっとも近い呼び方としては、「さらに効果的で、さらに効率的な検知対応へのアプローチ」といったところになります。
XDRは、リモートユーザー、ネットワークデータ、エンドポイント、クラウド、また、今後登場するであろう何かしらのテレメトリを統合します。 優れたXDRアプローチにより、アナリストは精選された検出、包括的な調査、詳細で相関性の高い脅威イベント、および自動応答の推奨事項を得ることができるようになります。 アナリストは、よりシンプルに、よりスマートに、より速く作業することができるようになり、次に何をすべきかを把握できます。
XDRを正しく活用すれば、ブラウザのタブを行き来して、複数のツールを管理する煩わしさから解放されます。 XDRは、技術的な制限なしに拡張可能な、包括的なハブとして機能します。 SaaSとして提供されるため、オフィス間または世界中のコラボレーションの促進も期待できます。 また、XDRは急を要する分析要件やアラートの解析および分析から、セキュリティチームを解放します。。
優れたXDRは、低ノイズ性を実現します。 検出ライブラリの後ろ盾となるメソッド、脅威インテリジェンス、および勤勉さは、それが即利用可能な、信用できる検知であることを証明しています。 また、すべてのそれぞれ異なるデータは、ユーザー、アセット、およびアクティビティごとに関連付けされます。
Forresterは、XDRにはワンクリックで実行できる規範的対応のサイバーセキュリティプレイブックが包含される必要があると述べています。 そうすることで、エンドポイントの脅威の封じ込め、ユーザーアカウントの一時停止、JiraやServiceNowなどのチケットシステムとの統合など、事前に構築されたワークフローの自動化が期待できます。
従来のSIEMは、大量のログデータをベースに、セキュリティチームに分析機能を提供するように構築されていました。 そこから、関連するセキュリティ テレメトリを集約し、結果を関連付け、脅威を検証し、修復するのはお客様自身です。
クラウドSIEMを中核とする XDRアプローチ を採用することで、セキュリティオペレーションセンター(SOC)による分析や構成が不要になります。 効率、インシデント対応の加速、および1日に実行可能な作業量の拡張がXDRの主眼点です。
従来型SIEMは、お客様自身に依存する業務が多く存在します。 SIEM と EDRを組み合わせて実現するXDRでは、提供される情報すべてがキュレーション済みの形で提供されます。 チームはネイティブかつ関連性がある、実用的なテレメトリ、忠実度の高い検出、規範的な対応プレイブックを利用できます。
XDR は、SIEM ログの管理と分析以上の機能を提供します。 デジタルトランスフォーメーションは加速し、どこでも仕事ができることがニューノーマルとなっています。 真のXDRプラットフォームは、これらの新しいセキュリティの課題に対応し、さまざまなテレメトリソースと脅威フィードから脅威を特定します。
管理するデータ量が増えるにつれて、調査するアラートの数も増えています。 従来のSIEMソリューションでは、通常、これらのアラートに優先順位を付けるために必要なコンテキストをアナリストに提供しません。 これがXDRがSOARである所以です。 セキュリティの自動化と対応(SOAR)プラクティスを活用して、大量の誤検知の排除を自動化し、受信 するアラートの品質を向上させます 。 XDRは、最も効果的なSIEMおよびSOARプラクティスを改良してチャネル化し、高度なテレメトリに重点を置いて、チームが従来の事後対応型ワークフローよりもプロアクティブになるようにします。
EDRはSOCの方法論における重要な要素であり、ネットワーク全体の特定のエンドポイントを保護し、ワークステーションの資格情報の盗難、脅威アクターからの水平展開、およびその他の検知をすり抜けるような動作を防ぐのに役立ちます。 アラートに関連するコンテキストをキャプチャすることは、エンドポイントセキュリティを拡張する「特別なソース」であるため、アナリストや専門家はより迅速に対応することができます。
有能なインシデント検出と対応 (IDR) ソリューションでは、この拡張エンドポイント テレメトリを活用して、すぐに使用できる脅威検出を提供する必要があります。 アナリストは、大量のアラートをふるいにかける必要がないため、より迅速に行動できます。優先度が最も高いアラートにすばやく対応できます。
XDR エンドポイントソリューションは、基本的な脅威検出にを提供するだけではありません。 拡張エンドポイントテレメトリ (EET)により、チームは特定の検出のトリガーを正確に知ることができます。 インシデントの前後に何が起こったかについての具体的な詳細を取得します。 また、EDRにとって重要な「X」はすべて、検出に関連するユーザーと特定の資産に関するより堅牢なコンテキストを提供するファイル整合性監視(FIM)のメリットも得られることを意味します。
XDR 機能をよく理解した MDRプロバイダー とSOC が提携している場合、優先順位づけを行うために必要な情報であるコンテキストを伴ったアラートを受信してオペレーションを改善しつつ、ビジネス促進にも貢献することができます。
XDR機能を追加することで、セキュリティチームは複数のツールを同時に操る必要がなくなります。 XDRにより、何が攻撃で、何が正規のコマンドであったかを正確に解読することができます。そして、効率化により保護が強化されます。
83%の組織が脅威の検出と対応の予算を増やし、29%が「盲点」を認め、29%がリカバリまでの時間を短縮する必要があり、27%がどの脅威を優先すべきかを知るための支援を求めています。2
XDRの成果を謳う多くのベンダーは、テレメトリセットと拡張環境の可視化に必要な、ネットワークセンサーやクラウドフックアップ、ユーザー行動分析(UBA)、ログの取り込みなど、他のさまざまなサイバーセキュリティテクノロジーを統合し、それを売ること想定しています。
XDRに何が含まれているか、そしてチームが何をもたらすことが期待されているかを理解することが重要です。
では、XDRに最も期待される結果は何でしょうか? ノイズの多いアラートに終わりを告げ、忠実度の高い検出を提供することを約束します。
検出ライブラリの背後にある原理、脅威インテリジェンス、および勤勉さについて質問することをお勧めします。 原理と概念実証を理解することが大切です。 そして、検出を直接体験してください。 最後に、客観的なサードパーティの分析またはレビューを確認してください。
何が自動化可能かを確認してみてください。 アナリストの準備は整っていますか? ガイダンスはありますか? XDRは、単調かつ反復的な作業からあなたを解放し、そもそもあなたが興味を持っている、やるべき仕事に時間を割くことを可能にします。夕方、仕事を早く切り上げることもできるかもしれません。 動的に変化する攻撃可能領域で発生するインシデントに対応するために、外部脅威インテリジェンスが必須となっています。
ダウンロード:ESG調査レポート | 最新のSOCにおけるXDRの影響
1 Enterprise Strategy Group(ESG)2021年2月