サイバー攻撃はより一般的になり、より巧妙になり、よりコストの負担を大きくするものとなっているため、包括的なサイバーセキュリティ戦略の必要性が高まっています。すべてのセキュリティ戦略の中心となるのは、従来のセキュリティ対策を回避した脅威を捕捉する、検知と対応の機能です。ここでは、次の3つの主要な検知および対応ツールについて説明します。

  1. エンドポイントでの検知と対応(EDR)
  2. マネージド検知と対応 (MDR)
  3. 拡張された検知と対応(XDR)

エンドポイントでの検知と対応(EDR)とは

エンドポイントでの検知と対応(EDR)は、すべてのエンドポイントアクティビティを捕捉し、高度な分析を活用して、すべてのエンドポイントの正常性をリアルタイムで可視化するサイバーセキュリティソリューションです。異常なアクティビティを検知し、情報セキュリティ(Infosec)チームにイベントについて警告して、修復の提案と対応のための機能を提供し、進行中の攻撃を阻止するか、拡散を制限します。

エンドポイントでの検知と対応ソリューションには、次の機能があります。

  • エンドポイントのモニタリングとイベントの記録
  • データの検索、調査、脅威ハンティング
  • アラートのトリアージまたは不審なアクティビティの検証
  • 不審なアクティビティの検知
  • データ分析
  • 対応をサポートする実用的なインテリジェンス
  • 修復

詳細情報

Forresterでは、エンドポイントでの検知と対応(EDR)を対象としたForrester Wave™において、クラウドストライクを「リーダー」と認めました。レポートをダウンロードして、クラウドストライクのスコアが他のEDRプロバイダを上回った理由をご確認ください。レポートのダウンロード

マネージド検知と対応(MDR)とは

マネージド検知と対応(MDR)は、「サービスとしての」エンドポイントセキュリティです。このサービスは、EDRを含む、組織のエンドポイントセキュリティテクノロジーを管理します。通常、サービス機能には次が含まれます。

  • 継続的モニタリング
  • 脅威ハンティング
  • 脅威とアラートの優先順位付け
  • マネージド型調査サービス
  • ガイド付き対応
  • マネージド型修復

MDRの主な利点は、追加の人員を必要とせずに脅威の影響を迅速に特定して制限できることです。これは、高度なスキルを持つサイバーセキュリティ専門家の世界的な不足と、特にクラウドベースのシステムと資産の保護に関連する、同様のスキルギャップを考えると、特に重要です。

拡張された検知と対応(XDR)とは

拡張された検知と対応(XDR)は、組織のセキュリティスタック全体にわたるセキュリティデータの取り込み、分析、ワークフローを合理化し、表面に現れていない高度なセキュリティ脅威に関する可視性を高め、対応を統合します。

XDRプラットフォームは、インフラストラクチャ全体からデータを収集して関連付けます。これにより、企業全体における脅威の可視性が向上し、セキュリティ運用が加速され、リスクが軽減されます。XDRは、これらのデータを分析し、優先順位を付けて合理化し、単一の統合されたコンソールを介して、標準化された形式でデータをセキュリティチームに配信することができます。

XDRプラットフォームは通常、次の機能を提供します。

  • 多様なマルチドメインセキュリティテレメトリ
  • 脅威に焦点を当てたイベント分析
  • 脅威の検知とデータ信頼性の優先順位付け
  • マルチドメインテレメトリ全体にわたるデータの検索、調査、脅威ハンティング
  • 脅威を緩和し、修復するための対応

詳細情報

XDRは単なる流行語に留まりません。ばらばらの製品、データ、プロセスを統合し、高度な脅威を検知して対応するそれらの機能を改善して、セキュリティチームを支援する、サイバーセキュリティの戦略的アプローチです。『XDRの本質』インフォグラフィックのダウンロード

組織にはなぜXDRが必要なのか

これまでの脅威検知ソリューションの実現は、一度にセキュリティアーキテクチャの1つのレイヤーに重点を置くものでした。たとえば、EDRソリューションはエンドポイントを監視するのに対し、ネットワークトラフィック分析ソリューションはネットワークトラフィック専用です。これらのツールからのデータが統合または統一化されていることまれであり、組織は企業全体の完全で正確な可視性を得ることができません。

多層セキュリティアーキテクチャを構築するために複数の個別セキュリティ製品を購入する組織は、適切なコンテキストなしに多くのアラートを配信するセキュリティスタックを意図せず作成してしまう可能性があります。より多くのツールが関与するにつれて、調査の実施はより困難になります。これが多層セキュリティモデルの採用に伴い、侵害の特定に必要な時間が長くなってきた理由の1つです。

さらに、個々のセキュリティツールへの依存のため、セキュリティアーキテクチャ内にサイロやギャップが生じることがよくあります。セキュリティサイロが複雑になればなるほど、セキュリティギャップが発生し、侵害が発生するまで見過ごされる可能性が高くなります。

XDRは、多層防御戦略でよく見られるこれらの問題や、その他の問題に対処します。XDRは、サイロ化したセキュリティツールの価値を調整して拡張し、セキュリティ分析、調査、修復を1つの統合コンソールにまとめて合理化します。こうして、XDRは脅威の可視性を劇的に向上させ、セキュリティ運用を加速して、総所有コスト(TCO)を削減し、セキュリティスタッフに定常的にかかる負担を軽減します。

EDR、XDR、MDRの比較

EDRは、エンドポイント監視および脅威検知ツールのベースラインであり、すべてのサイバーセキュリティ戦略の基盤です。このソリューションは、データの捕捉や、分析のために一元化されたリポジトリに送信する点において、エンドポイントにインストールされたソフトウェアエージェントまたはセンサーに依存しています。

MDRは通常、サービスとして購入されたEDRを指します。このサービスはエンドポイントセキュリティを管理します。そして専任の経験豊富なセキュリティチームによる脅威の緩和、排除、修復に重点を置いています。

XDRは、EDR機能の拡張で、エンドポイント以上のものを保護します。XDRソリューションは、インフラストラクチャ全体にわたって「拡張」されています。組織のセキュリティスタック全体にわたるセキュリティデータの取り込み、分析、ワークフローを合理化し、表面に現れていない高度なセキュリティ脅威に関する可視性を高め、対応を統合します。マネージドソリューションとして購入したXDRは脅威ハンティング、脅威インテリジェンス、分析における、経験豊富な専門家へのアクセスも提供します。

EDRMDRXDR
製品ウイルス対策ソリューションやその他の予防技術を回避している脅威がないか、エンドポイントを監視します。「サービスとしての」EDR EDRと同じ機能に加えて、脅威を監視、軽減、排除、修復するための24時間365日体制のマネージドサービスを提供します。脅威に特化した、全範囲対応型のセキュリティソリューション。さまざまな既存のセキュリティツールからのデータを統合して可視性を向上させ、リスクを軽減します。
コンポーネント
  • リアルタイムのエンドポイント監視
  • 振る舞い分析(IOCおよびIOA)
  • 脅威データベースとグラフ化
  • ネットワーク隔離
  • 修復の推奨事項
EDRの機能+24時間365日対応のマネージド型サービスで、以下を含む。
  • 人による脅威ハンティング
  • マネージド型調査サービス
  • ガイド付き対応
  • マネージド型修復
  • 脅威とアラートの優先順位付け
  • マネージド型サービスと社内チームのための中央コミュニケーションと調整のハブ
EDRの機能+
  • 自律的分析、対応、脅威ハンティング
  • クラウドベースの取り込み
  • 自動調査とスコアリング
  • クロスドメイン相関
  • 対策の基となる脅威のサマリー
  • 高度な検知、インシデント対応、脅威ハンティング
方法、ツール、テクノロジーソフトウェアベースのEDRソリューションエンドポイント保護プラットフォーム(EPP)
  • ネットワーク分析と可視性(NAV)
  • 次世代ファイアウォール
  • Eメールセキュリティ
  • アイデンティティおよびアクセス管理(IAM)
  • クラウドワークロード保護プラットフォーム(CWPP)
  • クラウドアクセスセキュリティブローカー(CASB)
  • データ損失防止(DLP)
脅威の可視性エンドポイントエンドポイントすべてのエンドポイント、ユーザー、ネットワーク資産、クラウドワークロード、Eメール、データ、その他の資産
保護+ EDRツールは、すべてのサイバーセキュリティ戦略のコアコンポーネントであり、すべての高度なサイバーソリューションと機能の基盤となります。++ MDRは、EDRソリューションのリアルタイム監視および対応機能と、高度なスキルを持つサイバーセキュリティ専門家を組み合わせて、脅威ハンティング、脅威インテリジェンス、マネージド型対応などのプロアクティブなセキュリティアクションを実行します。+++ 脅威に特化したセキュリティ防止の次世代のフロンティアであるXDRは、EDRとネットワークアーキテクチャ全体のツールとシステムの健全な統合を通じて、最高レベルの保護を提供し、組織を危険にさらすサイロやギャップを排除します。

組織に最適なソリューションはどれですか

組織のニーズはそれぞれ異なります。セキュリティは不可欠ですが、ビジネスのリスクプロファイルに基づいて適切なレベルのカバレッジを提供するセキュリティツールを選択することが重要です。

次のような組織にはEDRが適しています。

  • NGAVを超えてエンドポイントセキュリティ体制と機能を改善したい
  • EDRソリューションによって生成されたアラートと推奨事項に対応できる情報セキュリティチームがある
  • 包括的なサイバーセキュリティ戦略を構築する点での初期段階にあり、スケーラブルなセキュリティアーキテクチャの基盤を確立したいと考えている

次のような組織にはMDRが適しています。

  • 既存のツールまたはリソースを通じて高度な脅威を迅速に修復できる、成熟した検知および対応プログラムがない
  • 追加のスタッフを雇うことなく、新しいスキルを導入し、成熟度を高めたい
  • ITチーム内のスキルギャップを埋めることや、高度なスキルを持つ専門的な人材を引き付けることに苦労している
  • 組織を標的とする最新の脅威に対する保護を、最新の状態に保つ必要がある

次のような組織にはXDRが適しています。

  • 高度な脅威検知を強化したい
  • 単一のコンソールからマルチドメインの脅威分析、調査、ハンティングを高速化したい
  • 分断された、またはサイロ化されたセキュリティアーキテクチャ全体からのアラートに疲弊している
  • 対応時間を改善したい
  • セキュリティツール全体のROIを向上させたい

専門家からのヒント

新しいWaveレポートにおいて、Forresterは、最も重要な14のXDRプロバイダを評価し、現在提供されている製品、戦略、市場プレゼンスなどの一連の基準に基づいて各社にスコアを付けています。『The Forrester New Wave™ for Extended Detection and Response(XDR)』のダウンロード。

XDRとMDRを両方使用することは可能ですか

簡単に言えば、可能です。マネージドXDR(MXDR)を使用すれば、XDRとMDRを共存させることができます。Falcon Complete XDRは、業界をリードするCrowdStrike Falcon® CompleteのMDRサービスを、クロスドメインのXDR保護によって拡張したものです。クラウドストライクのグローバルエキスパートチーム、プロアクティブな脅威ハンティング、およびネイティブ脅威インテリジェンスによって強化されており、24時間365日のマネージド型保護を実現します。

CrowdStrike Falcon® Complete XDRの詳細をご覧ください。