【ブログ翻訳】XDRとは何か?

The Language of Cybersecurity (3)

2021年3月25日

RSAは、XDR (eXtended Detection and Response) をサイバーセキュリティのアプローチとして定義しています。XDRは、ユーザー端末からネットワークを経てクラウドまでを、脅威の検出とレスポンスの対象とし、データやアプリケーションが存在する場所を問わず、セキュリティ運用チームに脅威の可視性を提供します。XDR製品は、ネットワーク検出とレスポンス(NDR:Network Detection and Response)、エンドポイント検出とレスポンス(EDR:Endpoint Detection and Response)、行動分析、セキュリティオーケストレーション、自動化とレスポンス(SOAR:Security Orchestration, Automation and Response)それぞれの機能を、ひとつのインシデント検出および対応プラットフォームに併せ持ち、高度な脅威への対応行動におけるセキュリティチームの負荷を緩和します。XDRの市場はまだ黎明期にあり、XDRの定義には多様な見方があります。

XDRがそれほど注目されているのはなぜですか?

XDRは、次のような高度な脅威を迅速に検出しようとするセキュリティ運用チームに立ちはだかる、多くの障壁を乗り越えるための支援を目的としています。

・ネットワーク、エンドポイント、クラウドベースのインフラと、アプリケーション全体の可視性が不完全
・一貫性のないセキュリティデータと、サイロ化されたセキュリティ製品の増加がもたらす莫大なアラート
・ アラートの関連付けと優先順位付けに役立つツールの欠如

XDR製品は、これまでポイントセキュリティ ソリューション(またはEDR、NDR、UEBA、SOARなど、ひとつの目的のみのソリューション)を、単一のプラットフォームにまとめることで、セキュリティチームにとって非常に複雑な存在だったサイロの解消に役立ちます。また、高度な脅威を迅速かつ積極的に検出し、調査やレスポンス行動が容易になります。XDR製品は、異種システムからのセキュリティデータを一元化および正規化することにより、検出と応答をスピードアップします(たとえば、類似のメトリックを組み合わせ、重複データを洗い出し、すべてをひとつのメタデータストアに結合します)。このデータと他のセキュリティアラートをインシデントに自動的に関連付けし、一元化された(そしてより自動化された)インシデント対応機能を提供します。

XDRと進化したSIEMの違いは何ですか?

進化したSIEMプラットフォームとXDRプラットフォームは、脅威の検出とレスポンスのスピードを早め、セキュリティアナリストを楽にするなど、同じ目標を共有しています。

相違点 : XDRは、純粋に高度な脅威の検出とレスポンスにフォーカスしていますが、RSA NetWitness Platformのような進化したSIEMは、XDR機能とログ管理、保持、コンプライアンス機能を合わせ持っています。 進化したSIEMはログを収集しますが、XDRプラットフォームはそうではありません。

このブログでは、XDRや進化したSIEM、従来のログ中心のSIEMの違いを解説します。

XDRプラットフォームでログが考慮されていない場合、それは完全な可視性が得られていないことを意味しますか?

ネットワークパケットとエンドポイントデータを取得している場合、これらのデータソースは概ね、脅威を検出して調査するために必要な情報の大部分を提供するはずです。 とはいえ、一部の組織は依然として脅威検出の取り組みにログを含めたいと考えています。

では、どちらを選択すべきでしょうか:進化したSIEMまたはXDR?

組織がコンプライアンス目的でログ管理ツールをすでに導入している場合は、脅威の検出と対応のために進化したSIEMソリューションは必要なく、XDRで十分な場合があります。

XDRソリューションにどのような機能を求めるべきですか?

前述のように、業界アナリストはXDRの主要な要件を、データの正規化と集中化、セキュリティデータとアラートのインシデントへの関連付け、一元化されたインシデントレスポンス機能であるとしています。 これらの3つの基本的な要件を満たさないXDRソリューションを検討している場合、それは実際にはXDRになり得ません。同様に、基本的にNDRまたはEDRのみを提供するXDRソリューションを検討している場合も、それは真のXDRプラットフォームになり得ません。

SANSは、検出および調査プラットフォームは、次の要素を提供する必要があると主張しています。

・ネットワークトラフィック、エンドポイントプロセス、ファイル、イベントなど、さまざまな調査ツールとフォレンジックの結果。
・ユーザーやエンティティを対象とした強力な行動分析(UEBA)機能—ユーザーのふるまいをモニターし、実行中の他タイプのイベントやシステム分析に結び付ける機能。
・ネットワークアドレスのブロック、フォローアップのための資産のフラグ付け、エンドポイントシステムの検疫など、迅速に実装できる復旧機能。

前述の基本を踏まえて、調査会社は、オープンアーキテクチャまたは強力な統合機能のいずれかを備えたXDRプラットフォームを、組織の既存のセキュリティ制御と相互運用できるようにすることを勧めています。

 

これは、RSA Blog (THE LANGUAGE OF CYBERSECURITY, What is XDR?) の翻訳です。

# # #

© 2020 RSA Security LLC、その関連会社。All Rights Reserved.

RSAおよびRSAロゴ、FraudActionは米国RSA Security LLC 又はその関連会社の商標又は登録商標です。RSAの商標は、https://www.rsa.com/en-us/company/rsa-trademarks.を参照してください。その他の製品の登録商標および商標は、それぞれの会社に帰属します。