Limitless XDRって?

SIEM、エンドポイント保護、クラウドセキュリティの機能を1つのプラットフォーム集約したLimitless XDRで、最先端のサイバーセキュリティ運用を導入しましょう。数年分のデータを横断する分析を可能にし、主要なプロセスを自動化するだけでなく、すべてのホストにネイティブなエンドポイントセキュリティを配備します。

Limitless XDRの定義

“XDR”(eXtended Detection & Response)という単語を目にする機会が増えています。現状ではセキュリティベンダーが各社のテクノロジーに応じて使っており、その定義は様々です。XDRは、EDR(エンドポイント検知と対応、Endpoint Detection and Response)の進化形として登場し、eXtended(拡張された)の“X”をつけることで、調査プロセスにおける多様なデータソースへのニーズを端的に表現しています。 ベンダーにより定義は異なりますが、コアなコンセプトとして次の内容を挙げることができます。

  • 可視性:データの指数関数的な増加に伴い、セキュリティ担当者の業務はますます困難になっています。セキュリティ業務の遂行には、分析、根本原因の特定、解決案の策定を実施する一元的な場が必要です。
  • 分析:データを一元的に収集する場合、データスワンプは生じません。XDRはまったく新たな分析のユースケースを大規模に構築して実現し、かつ監視するためのフレキシブルなフレームワークであるべきです。またアナリストが用いる複数のワークフローがシームレスに統合され、XDRで攻撃ナラティブの優先付けと構築を実行できることも必要です。
  • 対応:XDRは、効果的なインシデントレスポンスを実行する上で中心的な役割を果たすソリューションです。攻撃から回復するための手段は必要ですが、攻撃前に防御できれば、それが最上のシナリオです。ランサムウェアをただ“検知”しても、組織の助けにはなりません。ネイティブなエンドポイントセキュリティが動作すれば、MTTR(平均復旧時間)を短縮し、ゼロを目指すことができます。
videoImage

EDR vs XDR

EDRが時間をかけてセキュリティチームの既存のツールセットに組み込まれるのに対し、XDRは組織の攻撃面全体にわたって効果的に監視、検知、対応する能力を引き上げます。

自社のニーズに最適なソリューションはどちらなのか、お悩みですか?ご安心ください。併用できます。ElasticセキュリティのLimitless XDRは、SIEMとクラウドセキュリティのほかに、EDRを主要コンポーネントとして内蔵する包括的なソリューションです。

Elasticが提唱する、XDRへの無限のアプローチ

“X”はExtended(拡張)のX

無限の可視性

エンドポイントセキュリティプロダクトを改良して作られたXDRソリューションは一般的に、エンタープライズで使用する大量かつ多様なデータソースをインジェスト、および保持するためのスケーラビリティを備えていません。Elasticのソリューションを使う場合、無料かつオープンなアーキテクチャーを使用してあらゆるデータソースをインジェストできます。データの問題解決に供される他のソリューションに比べ、数年先を行っていると言っても過言ではありません。現時点で数百種類の事前構築済み統合機能のデータをElastic Common Schema(ECS)にマップできますが、これに加え、Elasticのユーザーコミュニティが新たな拡張機能を継続的に開発しています。単体のインストーラー、Elastic Agentは数百種類の統合機能をサポートし、1クリックでまったく新たなユースケースに対応します。

無限のデータ

攻撃者のドゥエルタイムは、多くのSIEMやXDRシステムが現在サポートするデータ保持期間をはるかに超えています。仮にデータがそれらのシステムに保持されていたとしても、分析速度が遅く、作業が停滞するというのが典型的なパターンです。しかしElasticなら、Amazon S3などのオブジェクトストレージに格納した数年分のFrozenデータを検索や脅威インテリジェンス、ダッシュボード、レポート等に活用して、アクションを講じることができます。データの時間範囲を2週間から2年間に変更する。違いはそれだけです。次の瞬間、アナリストの手元にリアルタイム分析の結果が届きます。

“D”はDetection(検知)のD

無限に分析

脅威は常に進化しています。脅威を検知して停止させるには、深層での防御が必要です。Elasticは多数の検知レイヤーを構築し、ユーザーの全データに対応します。具体的には、無数のデータソースを横断する相関付けから、数年分の情報と機械学習モデルが検知した異常に適用される脅威インテリジェンスまで、脅威を多層的に検知します。Elasticチームは数百にも及ぶMITRE ATT&CK®準拠の脅威検知、ならびに機械学習ジョブも提供しており、ユーザーはDay 1から確実にバリューを引き出することができます。

検知機能開発の門戸は広く開放されており、ユーザーが開発チームと直接連携できるようにしたり、Elasticコミュニティのナレッジをシェアしたりする取り組みが行われています。Elasticの階層的な検知エンジアーキテクチャーでは、前回の検知を分析し、高度な攻撃の進行状況を確認する新規の検知ルールを構築することも可能です。多くの組織は多様な地理的領域とクラウドプロバイダー、リージョンにわたりデータを収集しています。その情報のバックホールには高い費用がかかり、非効率です。Elasticのクラスター横断検索を使うと、ユーザーはリージョンやプロバイダーを越えてデータを転送することなく、マルチクラウド環境でデータを検索し、あらゆる分析を実行することが可能になります。

“R”はResponse(対応)のR

検知された問題は最終的に、すみやかに解決する必要があります。最先端の対応を実践するには、エンタープライズ全体でアクションを講じる能力が必要です。つまり1つのプロセスをキルするだけではなく、ユーザーを無効化してサーバーからメールを移行したり、ファイアウォールで悪意のあるドメインをブロックしたりする、ということです。アナリストは、共同作業による調査のほか、修復計画の策定や実施、完了報告を行うためのシンプルで直感的な手段を必要としています。

Elasticのソリューションには、無料かつオープンなケースマネジメント機能が搭載されています。ユーザーはケースの特徴を糸口に、チームでコミュニケーションやコラボレーションを進めることができます。さらにケースをServiceNow ITSM、ServiceNow SecOps、IBM Resilient、JIRA、Swimlaneなど修復に使われる主要なベンダーとシームレスに統合し、規模を問わずビジネスの既存の修復ワークフローに組み込むことが可能です。この他にElasticは、APIファーストを掲げる開発およびWebフック機能も提供しており、他の生産性ツールとの統合に対応しています。

Elasticは従来から、データ収集と、悪意のあるファイルを自動で隔離してランサムウェアを停止させるなどのポリシー強制を連動させる一元的な手法を提供しています。修復のフェーズで、ユーザーは各OS(Windows、macOS、Linux)上のosquery管理機能を活用し、インシデントプロセスに必要な補足情報を収集することができます。攻撃を特定すると、ユーザーが対応プランを構築している間、WindowsおよびmacOSに対応する1クリックのシンプルなホスト隔離機能が発動し、敵によるデータ窃盗とデータ破壊を停止させます。この対応はユーザーモードファイアウォールには及びませんが、カーネルレベルの制御を実装して攻撃者によるデータ改ざんを防ぎます。

“A”はAutomation(自動化)のA

一連の可視性向上に加え、XDRが満たすべき条件として、アナリストのプロセスを自動化することで、かけ離れたデータソース全体で確実に効率化に貢献することがあります。アナリストのワークフローが成立し、大規模に適用されるとき、そこでは多数の機能が動作しています。

1クリックのデータインジェスチョン

セキュリティチームは、クラウドインフラやSaaS認証プロバイダー、エンドポイントセキュリティプロダクトなど、企業で使われる新規データソースの監視を定期的に求められます。アナリストはデータのバリューを見出すことに時間を費やす必要があり、インジェストパイプラインの構築に時間を割くべきではありません。Elastic Agentはデータをインジェスト、正規化し、ダッシュボードやモジュール、ルール等に適用するための高速かつ簡単な手段となります。

全データソースを横断し、検知をスケールさせる

多種類のパワフルな検知にとどまらず、将来の高度な脅威に備えて、質の高い検知が絶えず確実に供給され、アップデートされる必要があります。Elasticチームは積極的に活動する素晴らしいコミュニティと連携し、オープンな検知ルールrepoの更新を行っています。

アナリストの意思決定の迅速化を支援

データソースが増加の一途を辿っており、かつ、そのソースを対象とする検知機能も増加することから、アナリストのワークロードの増加は避けることができません。まずXDRに求められるのは、アラートを発するだけでなく、どのアラート(またはアラート群)を最初に調査すべきかを提示する機能です。Elasticのソリューションはあらゆるデータソースのコンテクストを用いて環境内のホストのリスクをスコアリングし、ビジネスにもたらすリスクの高さに基づいて検知結果を優先付けします。次に、ElasticのXDRは以前の検知結果やケース、脅威インテリジェンスを活用してアラートをエンリッチします。これにより、エスカレーションすべき事象がある場合に、アナリストがより簡単に判断することができます。3つ目のポイントとして、アナリストは最短時間で解決に辿りつくため、次の手順のガイダンスを必要としています。Elasticのソリューションは検知向けの調査ガイダンスを提供し、アナリストが最も役立つ次の手順を理解する手助けとなります。

Elasticが手がけるXDR ― 無料かつオープン、無比の性能

利用スタイルも無限

リソースベースの料金体系であれば、ユーザーはフレキシブルなライセンスを使って費用を自由に管理できます。硬直的な料金体系のために、重要な目標を妥協したりするべきではありません。Elasticのソリューションを使用するにあたり、ユースケースやデータ量、エンドポイントの数は関係ありません。費用は使ったサーバーリソースの分だけです。ユーザーが費用を事前に予測でき、またニーズに応じてフレキシブルに調整できるメリットがあります。

Elasticセキュリティのミッションは、世界中のデータを攻撃から保護することです。未来の攻撃から世界中のユーザーを確実に保護するため、Elasticは絶えず保護の分野にイノベーションを起こしています。ElasticのソリューションはSIEM、エンドポイントセキュリティ、XDRの機能を無料かつオープンに、単一のプラットフォームで提供します。このプラットフォームは無限の分析を実現するために開発され、セキュリティユーザーは損害が生じる前にサイバー攻撃への防御、検知、対応を実行することができます。