XDR(Extended Detection and Response、拡張検出および応答)

XDR(拡張検出および応答)とは、脅威の検知と対応を行うサイバーセキュリティツールです。XDRは、既存の多くのセキュリティ層からデータを収集し、セキュリティ運用システムに対するまとまりのある全体的なアプローチを提供します。

XDRは、エンドポイント、ネットワーク、メールセキュリティ、ID、アクセス管理、クラウドといったIT環境全体のさまざまなソースからのデータを相関させ、このデータセットで表される環境全体でサイバー脅威を検出して対応します。

XDRが重要な理由

サイバー犯罪は年率15%1で増加しており、攻撃の結果がビジネスに壊滅的な影響を与え得るため、XDRは重要です。標的となった組織は、データやインフラの破壊、金融資産の盗難、生産性の低下、知的財産の盗難、通常業務の中断などの被害を受ける可能性があります。このため、ビジネスを保護するためのセキュリティツールが必要です。

新しい脆弱性やより巧妙なサイバー脅威が発生するため、クラウドベースのインフラのセキュリティの保証により多くのリソースを割く必要があります。経験豊富なセキュリティ専門家の不足を補うため、企業はXDRテクノロジーを利用して、脅威の検知と対応を自動化できます。

企業のインフラのどの部分が危険にさらされているのかを確認してみましょう。

  • ネットワーク企業で使用されるコンピューターデバイス間の接続点であるネットワークは、不正アクセスを実行し、ネットワークで転送されるデータの窃盗、改ざん、暗号化を目的とした攻撃にさらされる可能性があります。
  • エンドポイント:顧客や従業員のノートパソコン、携帯電話、タブレット、デスクトップなどのネットワークに接続されているデバイスは、攻撃者が高価値のデータにアクセスするための入口となり、中心点と言えます。
  • クラウド:クラウドのデータ共有の簡素化は最も脆弱な機能です。一般的に、脅威は認証システムと公開APIを標的にしています。

脅威が高まるなか、世界のトップCISOがどのように組織を守っているのかについてお読みください。

その他の種類の検出と対応ソリューション

ネットワーク検知と対応(NDR)ネットワーク検知と対応サービスは、ネットワークのトラフィックの監視に制限されています。ネットワークトラフィックを解析し、「正常な」ネットワーク動作のベースラインを確立します。この境界値を超えた動作には、警告を発行し、対応します。

エンドポイント検知と対応(EDR):エンドポイント検知と対応(EDR)は、エンドポイントのシグネチャと動作に基づくセキュリティ監視であり、特定のデバイスの異常または不審な動作を担当者に警告し、迅速な対応を可能にします。

マネージド検知と対応(MDR):マネージド検知と対応はアウトソースされたサービスであり、セキュリティ運用能力のベースラインを提供します。一般的に、独自のバージョンのEDRまたはXDRソフトウェアを採用しています。MDRは、サイバーセキュリティ脅威を監視、トリアージ、調査するセキュリティ担当者を企業に提供します。

XDRとEDRの違い

エンドポイント検知と対応は、エンドポイントに限定されるため、攻撃対象領域を完全にカバーすることはできません。EDRは広く可視化されていないため、攻撃者は別の攻撃方法を採用することができます。

これに対し、拡張検知と対応は、すべてのインフラを完全にカバーできます。エンドポイント、メール、サーバー、ネットワーク、クラウドを監視し、脅威が潜んでいる可能性がある場所を検知して対応できます。

XDRとNDRの違い

ネットワーク検知と対応との大きな違いは対応する範囲です。NDRは、EDRと同様に、サイロ化された機能であり、ネットワークトラフィックの監視に限定されています。ネットワークセキュリティの脅威を評価し、警告を発行し、対応します。

XDRは、より広範なテクノロジー群を利用して、検知と対応を拡張し、脅威面全体を包括的に捉えます。

XDR vsMDR

MDRはアウトソースされたサービスであり、監視、調査、対応、技術展開などを行う専門のセキュリティアナリストをセキュリティチームに提供します。通常、MDRプロバイダーはSIEM、EDR、NDRなどのセキュリティテクノロジー術を組み合わせて、脅威を監視、検知しています。

XDRは、セキュリティチームがサイバーセキュリティ脅威を分析し、対応する能力を高めます。XDRは、自動的に対応することも、担当者が手動で対応するように警告を発行することもできます。

XDRの仕組み

手動では難しいタスクも、XDRでは自動的に処理されます。XDRでは、複数のセキュリティ製品からデータが収集され、潜在的な脅威を全体的に把握することができます。これらの異なるツールから取得されたテレメトリデータを相関させ、高度な分析を行い、異常な活動や不審な活動を検出します。不審なパターンが特定されると、XDRは自動的にイベントに対応するか、セキュリティチームが手動で対応できるように警告を発行します。対応アクションの設定によっては、IPアドレスのブロック、ユーザーの隔離、ドメインのブロックなどの対応が含まれる場合があります。

XDRは次のようなさまざまな方法でセキュリティチームを支援できます。

  • 一元化された分析:XDRでは、複数の種類のデータを収集、分析できるため、セキュリティチームはどこからでも脅威を検出し、修正できます。
  • アラートに振り回されない:XDRは、アラートを選別し、優先度を設定することで、担当者の生産性を高めます。
  • 効率化:XDRでは、脅威の特定や手作業によるデータの関連付けに費やす時間を短縮できます。セキュリティチームは、調査ではなく、開発に集中できます。

XDRのユースケース

組織は、次のようなさまざまなユースケースに対応するために、拡張検知と対応ソリューションを使用しています。

  • アラートのトリアージXDRソフトウェアは、企業の最初の防衛ラインとして機能し、脅威を検出したり、アナリストによる警告のトリアージを支援したりします。最初に脅威やイベントに対応するため、効率が改善されます。また、インシデント担当者への引き継ぎと能動的な分析が可能です。
  • セキュリティ調査XDRの一元的な収集、分析、対応能力により、調査担当者はより迅速に対応することができます。
  • 脅威ハンティングXDRは、可視性の向上、相関の強化、環境横断的な分析の合理化により、脅威ハンターを支援します。

XDRにはどのようなメリットがありますか?

  • の可視性の向上:XDRソリューションは、エンドポイント、ネットワーク、クラウド環境で可視化を実現できます。すべてのデータソースを一元的に把握できるため、アナリストは組織全体の異常や不審な活動を迅速に特定でき、潜在的な脅威を特定できます。
  • 統合された分析:XDRソリューションでは、ログ、エンドポイント、ネットワークトラフィックなどのさまざまなソースからデータを収集、相関させるため、脅威の状況をより包括的に把握することができます。データを文脈化することで、アナリストは脅威の範囲をより深く理解し、対応の優先度を設定できます。
  • 生産性の向上:XDRソリューションは、データの収集、分析、調査などの反復タスクを自動化するため、アナリストはより複雑なタスクに集中できます。これにより、脅威の特定と対応にかかる時間を短縮し、脅威ハンティングの全体的な効率を向上させることができます。
  • 豊富なコンテキスト:XDRソリューションは、脅威インテリジェンスフィードと統合でき、アナリストに既知の脅威やIoC(セキュリティ侵害インジケーター)に関する詳細情報を提供します。これにより、新しい脅威や出現した脅威を特定し、能動的に脅威を検出できます。

組織に合った適切なXDRプラットフォームを選定する方法

  1. 分析、根本原因の特定、改善計画を一元的に行うことができるXDRソリューションを選択します。目標:セキュリティのサイロ化から脱却し、環境全体の深部まで可視化します。
  2. 新しいユースケースを導入し、組織のニーズに合わせて拡張できるような、柔軟なフレームワークとアーキテクチャーを提供するXDRサービスを探します。
  3. 選択するXDRサービスは、作業を自動化し、平均応答時間を短縮することができる統合型である必要があります。

ElasticのLimitless XDR

ElasticのLimitless XDRでは、担当者が限られたリソース、断片化したシステム、従来のセキュリティツールの限界にもかかわらず、急速に進化する組織を、ますます巧妙化する敵から守ることができます。

ランサムウェアや高度な脅威を阻止するエージェントが導入されているハイブリッドクラウド向けに構築されたオープンプラットフォームでは、Elastic SecurityはSOCを強化し、リスクを低減させます。このソリューションでは、攻撃面全体から得た長年のデータを使って高度な分析を実行することで、データのサイロを解消し、予防と検知を自動化し、調査と対応を合理化します。

ビジネスの成長にとって、セキュリティは重要です。Elasticでは、拡張可能で高速なXDRテクノロジーを提供し、お客様のチームが最も重要な業務に集中できるようにします。

脚注

1 Morgan, Steve.“Cybercrime to Cost the World $10.5 Trillion Annually by 2025.” Cybercrime Magazine, 27 Apr. 2021, https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021.