サイバーセキュリティのための遠隔測定

テレメトリーとは何か?

現代の企業やデータセンターのネットワーク・トポグラフィは複雑だ。ルーター、スイッチ、ローカル・サーバー、クラウド・サーバー、ハイパーバイザー、ファイアウォール、その他のセキュリティ・アプライアンス、ワークステーションなど)、イーサネット、光ファイバー、Wi-Fiなどさまざまな伝送媒体を使用し、ビジネス・オペレーションに不可欠なさまざまなアプリケーションをホストしています。このようなデジタル環境では、管理者にネットワーク・アクティビティに関する広範かつ詳細な可視性を提供する複雑なレポーティング・ソリューションが必要です。 

テレメトリーとは、ネットワーク環境から収集されたデータのことで、ネットワークとそのコンポーネントの健全性、パフォーマンス、可用性、セキュリティをモニターするために分析することができ、ネットワーク管理者がリアルタイムで迅速に対応し、ネットワークの問題を解決することを可能にする。遠隔測定データは、可用性が高く、最適化され、回復力のあるネットワークの維持に貢献します。高度な遠隔測定分析は、人工知能と機械学習を採用して、ネットワーク・オペレーションに関する実用的なイベント駆動型データを提供し、異常なネットワーク・アクティビティと潜在的に悪意のある行動の指標を検出することもできます。

テレメトリー・コンポーネント

テレメトリー・データの収集と分析を容易にするために、デバイスは、関連するメトリクスを集中型システムに転送するソフトウェアで構成されなければなりません。ネットワーク・テレメトリーはネットワークとそのすべての重要なアプライアンスのパフォーマンスに焦点を当て、エンドポイント・テレメトリーは個々のエンドポイントで起きているアクティビティのレポートに焦点を当てます。

ネットワーク遠隔測定を高レベルで理解するために、コンピュータネットワークの機能を3つの理論的な "プレーン "としてモデル化することができる。この3つのプレーンとは

データプレーン:あるインターフェースから別のインターフェースへパケット/フレームを転送する。データの流れを高速道路の交通に例えるなら、データプレーンを道路に、通信を車両に例える。

制御プレーン:ルーターやスイッチのルーティング・プロトコルなど、機器間でデータが通る経路を決定するルールを運用する。交通に例えると、制御プレーンは信号機や標識に相当する。

管理プレーン:デバイスの制御と監視を行う。管理プレーンは、リアルタイムの交通データを持つナビゲーションアプリと、交通の流れを最適化するために信号や標識を調整する都市計画者の組み合わせに例えることができる。

データプレーンとコントロールプレーンからのテレメトリは、パフォーマンスとセキュリティを向上させるために、ネットワークアーキテクチャやコンフィギュレーションを変更する際に利用できます。XDR(Extended Detection and Response)などの高度なネットワーク・エンジニアリング・ツールやセキュリティ製品は、マネージメント・プレーンで動作し、ネットワークのトポグラフィーやコンフィギュレーションを自動的に調整します。

例えば、デバイスのハードウェア・リソース(CPU、RAM、ハードディスク・ドライブ、ネットワーク・インターフェース)が枯渇に近づいたり、障害が発生したり、デバイスやアプリケーションが予期せぬ動作をした場合、ITチーム・メンバー向けにアラートを作成し、ロード・バランサーやフェイルオーバーがVPSなどの新しいリソースを自動的に割り当てて、ネットワーク・パフォーマンスを維持することができます。

エンドポイント・テレメトリー

エンドポイント・テレメトリーには、各エンドポイント上のオペレーティング・システム、サービス、アプリケーションからの情報が含まれます。エンドポイント・テレメトリーは、個々のシステムやアプリケーションを監視し、通常の運用状態によるシステム障害やマルウェアによる悪意のあるアクティビティを特定するために使用されます。エンドポイント・テレメトリーのコンポーネントは柔軟性が高く、監視対象のエンドポイントが提供するサービスに依存します。各エンドポイント上のエージェントは、侵害の指標(IOC)やその他のアクティビティを分析できるように、関連データを集中型リポジトリにリレーします。

エンドポイント・テレメトリーの利点

データ損失保護

電子メール、ファイル共有、クラウドAPI、従業員のワークステーションなどのサービスを監視し、攻撃者がデータ流出を試みている可能性を示すデータ転送に関する異常な動作を検出する。

認証と認可

疑わしい活動を検出するために、ホストされたリソースへの認証とアクセスの試みを監視するサービス。

システムプロセス

不正なプロセスや、サイバー攻撃におけるアプリケーションの侵害によって生成される可能性のあるプロセスについて、オペレーティングシステムを監視すること。

システムファイルの変更

オペレーティング・システムやアプリケーションを監視し、重要なシステム・ファイルや構成設定に変更がないかどうかを確認する。

ユーザーの行動

キーボードのストロークやマウスの動き、ドキュメントの開封、インターネットの利用などのアクティビティについてエンドポイントを監視する。

サイバーセキュリティのための遠隔測定

テレメトリーデータはいくつかの方法でサイバーセキュリティに応用されている。ネットワーク・エンジニアは、テレメトリーを使用して、ネットワーク・トラフィックをリアルタイムで観察し、すべてのシステムの可用性と高いパフォーマンスを確保することができる。より高度なサイバーセキュリティ・シナリオでは、テレメトリ・データはIOCに対応し、応答するために使用できる。

例えば、XDR ソリューションはネットワーク・エンドポイントからのテレメトリーを取り込み、報告された IOC に自動的に反応してエンドポイントを隔離し、IOC テレメトリーを使用してネットワーク環境全体の防御を調整することで、ネットワークの残りの部分をさらに保護します。これにより、既知のシグネチャについて受信ファイルをスキャンする従来のウイルス・スキャンを超える防御的なサイバーセキュリティ戦略が可能になり、異常な動作についてすべてのシステムをリアルタイムで監視できるようになります。その結果、滞留時間が短縮される。

エンドポイント・テレメトリーは、セキュリティ・チームが脅威の検出範囲を拡大し、悪意のある活動を早期に特定するのに役立ちます。

CylanceGUARD エンドポイントセキュリティ

人間中心のサブスクリプション・ベースの24x7x365マネージド・ディテクション&レスポンス・サービスとして、 CylanceGUARD®は、CISO が必要とする専門知識とサポートを提供します。CylanceGUARD が具現化する深い専門知識と、AI ベースのエンドポイント保護を組み合わせています。 BlackBerry Cybersecurity Servicesによる AI ベースのエンドポイントプロテクションを組み合わせています。 CylanceENDPOINT.つまり、CylanceGUARD は、現代の脅威環境から企業を保護するために必要な人材とテクノロジーを企業に提供します。
詳細はこちら

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース