XDRの定義
拡張された検知と対応(XDR)は、これまでサイロ化していたセキュリティツールから脅威データを収集し、組織のテクノロジースタック全体で、より簡単かつ迅速に調査、脅威ハンティング、および対処を行うものです。XDRプラットフォームでは、エンドポイント、クラウドワークロード、ネットワークEメールなどからセキュリティテレメトリを収集できます。
GartnerではXDRの定義を「複数の独自のセキュリティコンポーネントからデータを自動的に収集して相関させる、統合されたセキュリティインシデントの検知および対応プラットフォーム」としています。
XDRは、この豊富な脅威データすべてをフィルタリングして単一のコンソールに凝縮することで、セキュリティチームが1つの統合ソリューションで複数のドメインにわたるセキュリティの脅威を迅速かつ効率的に追跡して排除できるようにします。
XDRの仕組み
XDRは、サイロ化したセキュリティソリューションからのデータを連携できるように結合して、脅威の可視性を改善し、攻撃を特定して対応するまでの所要時間を短縮させます。XDRにより、単一のコンソールから複数のドメインにわたる高度なフォレンジック調査と脅威ハンティングが可能になります。
以下にXDRの仕組みを段階的に説明します。
- ステップ1. 取り込み:エンドポイント、クラウドワークロード、アイデンティティ、Eメール、ネットワークトラフィック、仮想コンテナなどから大量のデータを取り込んで、正規化します。
- ステップ2. 検出:データを解析して相関させ、高度な人工知能(AI)と機械学習(ML)を使用してステルス性の脅威を自動的に検知します。
- ステップ3. 対応:重大度別に脅威データに優先順位を付けることで、脅威ハンターが新しいイベントを迅速に分析してトリアージし、調査と対応のアクティビティを自動化できるようにします。
XDRセキュリティの3つの利点
XDRは、サイロ化したセキュリティツールの価値を調整および拡張し、セキュリティ分析、調査、修復を統合して合理化します。その結果、XDRにより以下の利点が得られます。
- 統合された脅威の可視性:XDRは、複数のレイヤーにまたがって機能し、Eメール、エンドポイント、サーバー、クラウドワークロード、ネットワークからデータを収集して相関させることで、きめ細かな可視性を実現します。
- 手間のかからない検知と調査:重要ではないと判断された異常は、XDRがアラートストリームから取り除くため、アナリストや脅威ハンターは優先度の高い脅威に集中できます。また、高度な分析機能と相関コンテンツがツールにあらかじめ組み込まれおり、XDRはステルス性の脅威を自動的に検知するため、セキュリティチームは、検知ルールの作成、調整、管理に時間を費やす必要がほとんどありません。
- エンドツーエンドのオーケストレーションと対応:影響を受けるホストや根本原因から痕跡やタイムラインまで、詳細なクロスドメインでの脅威のコンテキストとテレメトリが、調査と修復プロセス全体をガイドします。自動化されたアラートと強力な対応アクションにより、複雑なマルチツールワークフローをトリガーして、SOC効率を大幅に向上させ、外科的脅威を中和することができます。
XDRとその他の検知および対応テクノロジー
XDRは、サイバーセキュリティテクノロジーの数多くの略語を生み出している「検知と対応」の類似した頭字語と混同されることがよくあります。以下に、XDRと他の検知と対応テクノロジーの違いを簡単に説明します。
- エンドポイントでの検知と対応(EDR):エンドユーザーのデバイス(デスクトップ、ノートパソコン、タブレット、スマートフォン)を監視して、ウイルス対策ソフトウェアでは検知できない脅威を検知します。
- マネージド検知と対応(MDR):基本的にサービスとして購入されたEDRです。
- ネットワーク検知と対応(NDR):ネットワーク内の通信を監視して、オンプレミス、クラウド、ハイブリッド環境の管理対象外のデバイスに隠れている可能性のある脅威を検知し、調査して対応します。
- アイデンティティ脅威検知と対応(ITDR):ネットワークとクラウド上にあるすべてのサービスアカウントと特権アカウントに対する脅威を検知します。
- 拡張された検知と対応(XDR):EDR機能を使用してエンドポイントを越えて保護を拡張し、さらにネットワーク、クラウドワークロード、サーバー、Eメールなどのデータも監視します。
- マネージド型の拡張された検知と対応(MXDR):365日24時間体制の専用サポート、専門知識、対応により、管理されたマルチドメイン保護を実現します。
クラウドストライクのXDRソリューション
CrowdStrike Falcon® Insight XDRは、セキュリティスタック全体の検知と対応を統合し、クラウドストライクのEDRテクノロジーを次のレベルに引き上げます。Falconと非Falconテレメトリは、1つのコマンドコンソールに統合され、統一された検知と対応を実現しています。CrowdStrike Falcon® Insight XDRは、サイロ化したソリューションでトラップされた不可解な信号を、有効性の高いリアルタイム検知と詳細な調査コンテキストに変換します。CrowdStrike Falcon® Insight XDRを搭載することで、セキュリティの専門家は、より迅速かつ直感的に調査、脅威ハンティング、対応を行えます。
マネージドXDR(MXDR)について
CrowdStrike Falcon® Complete XDRは、お客様の攻撃対象領域全体に365日24時間体制の専門家主導による管理、脅威ハンティング、監視、調査、および対応を行い、侵害を阻止します。ネイティブおよびサードパーティのテレメトリの取り込みにより、組織はドメイン間の可視性とエンドツーエンドの修復による利点を享受し、脅威を全体的かつ効率的に根絶することができます。