XDRの仕組み

XDRとは何か?

XDR(Extended Detection and Response)は、複数のソースからデータを収集・分析し、サイバー攻撃を防止、発見、対応する統合サイバーセキュリティ・ソリューションです。エンドポイント検知・対応(EDR)を拡張し、ネットワーク・ドメイン全体、あるいはクロス・ドメインでの検知・対応機能を追加することで、ネットワーク、クラウド・ストレージ、アプリケーション、エンドポイントなど、組織のデジタル環境全体を統合的に保護します。

なぜエンドポイントセキュリティにXDRなのか?

根本原因を特定し、対応方法を決定することによってセキュリティ・インシデントのコンテキストを構築するには、高度な専門知識、スキル、経験が必要ですが、こうした能力を備えた人材を見つけるのは困難です。適切な人材がいたとしても、企業の脅威アナリストは、セキュリティ情報・イベント管理(SIEM)システム、エンドポイント保護プラットフォーム(EPP)、その他のネットワークおよびホストの侵入検知(IDS)・防御(IPS)システムなど、多種多様なセキュリティ製品からの相関情報に基づいて、セキュリティ・イベントを手作業で調査し、エスカレーションすることにますます追われています。

XDRは、より高度な脅威の検知と対応のために開発されたソリューションであり、イベント間のコンテキストの関連付けを自動的に生成し、人間のアナリストの負担を軽減するために異常な行動を認識することができます。高度な検知とは、より多くのアラートではなく、より優れたアラートと自動化されたレスポンスのことです。 

XDRの仕組み

XDRは、より質の高い検出、自動分析、ネットワークとエンドポイントのセキュリティ意識のリアルタイム調整という目標を、いくつかの方法で達成している。

XDRは、セキュリティ・イベントのログ・データを相関させるだけでなく、関連するデータをつなぎ合わせ、詳細なロジック・フローを生成し、機械学習ベースの分析を適用して異常な動作を検出する。 

この分析によって「単一のストーリー」が作成され、データ横断的な分析が可能になるため、可視性が向上し、セキュリティ・イベントに関連する戦術、技術、手順(TTP)などの脅威のコンテキストを発見することができます。

第二に、XDRは、実行中のプロセス(子プロセスの生成を含む)をダイナミックに分析する: 

  • 不正なマルウェアプロセスの検出
  • 重要なシステムファイルと設定ファイルの正常性を検証する。
  • 重要なシステムファイルへのアクセス、変更、実行を行うプロセスの追跡
  • メモリ内容を検査し、ファイルのないマルウェアを検出する

XDR は、外部スキャンをバイパスして初期アクセスを獲得した可能性のある内部脅威の特定を目指します。XDRは、未知の脅威やマルウェアシグネチャが識別できない脅威を検出することができます。 

XDRツールは、脅威インテリジェンス情報を集中管理サーバーに共有し、すべてのエンドポイントのセキュリティプロファイルを更新することで、ネットワーク全体の認識を高めることができます。XDRはまた、エンドポイント上のサービスにリモートアクセスすることで、同様の脅威を探し、防止するためのアクションを取ることもできます。

XDRの基本機能

  • シグネチャベースのマルウェア識別
  • ホストのファイアウォール業務
  • 完全または部分的なディスク暗号化またはデータ・セグメンテーション
  • USBデバイスの使用制限と監視
  • 特定のアプリケーションやURLへのアクセスを許可または拒否する

高度なXDR機能

  • 関連するネットワーク、クラウド、エンドポイントデータをつなぎ合わせる
  • プロセスとユーザー行動の詳細なロジックフローを生成する
  • 実行中のプロセスの動的分析を行う
  • クレデンシャルの不正使用を特定する
  • エンドポイントのネットワーク接続を監視し、異常な動作を監視する。
  • 機械学習ベースの分析を適用して、異常な行動を検出する。
  • プロセスの文脈を分析する。
  • 重要なシステムファイルと設定ファイルの正常性を検証する。
  • どのプロセスが重要なシステムファイルにアクセス、変更、実行しているかを追跡
  • メモリ内容を検査し、ファイルのないマルウェアを検出する
  • 中央管理システムで脅威インテリジェンス情報を共有
  • 共有された脅威インテリジェンスからリアルタイムの脅威プロファイルを構築
  • セキュリティ・プロファイル構成の変更をネットワーク全体のエンドポイントにプッシュする
  • ネットワーク上のエンドポイントからリモートでファイルを隔離、置換、削除 
  • シェル、PowerShell、スクリプティングなど、あらゆるエンドポイントサービスにリモートアクセス可能 

CylanceGUARD エンドポイントセキュリティ

人間中心のサブスクリプション・ベースの24x7x365マネージド・ディテクション&レスポンス・サービスとして、 CylanceGUARD®は、CISO が必要とする専門知識とサポートを提供します。CylanceGUARD が具現化する深い専門知識と、AI ベースのエンドポイント保護を組み合わせています。 BlackBerry Cybersecurity Servicesによる AI ベースのエンドポイントプロテクションを組み合わせています。 CylanceENDPOINT.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーを企業に提供します。
詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース