XDR (拡張検出と応答) とは?
XDR (拡張検出と応答) ソリューションによってどのようにさまざまなワークロード全体で脅威に対する保護を 提供し、応答時間を短縮できるかを学びましょう。
XDR の定義
拡張検出と対応 (通常、XDR と略される) は、AI と自動化を使用する統合セキュリティ インシデント プラットフォームです。高度なサイバー攻撃から組織を保護し、対応するための包括的で効率的な方法を提供します。
企業はますますマルチクラウド環境とハイブリッド環境で事業を行っており、進化するサイバー脅威の状況と複雑なセキュリティの課題に直面しています。エンドポイントでの検出と応答 (EDR) などのターゲット システムとは対照的に、XDR プラットフォームは、より高度な種類のサイバー攻撃から保護するためにカバレッジを拡大します。組織のエンドポイント、ハイブリッド ID、クラウド アプリケーションとワークロード、メール、データ ストアなど、より広範なドメインにわたる検出、調査、応答機能を統合します。また、高度なサイバー攻撃チェーンの可視性、AI を活用した自動化と分析、広範な脅威インテリジェンスにより、セキュリティ運用 (SecOps) 全体の効率も向上します。
XDR の動作方法、その主な機能とベネフィット、新しい XDR の傾向など、XDR セキュリティの概要については、この記事をお読みください。
主要な XDR 機能
XDR プラットフォームは、組織全体のデジタル資産全体でサイバー脅威の検出と対応を調整します。これらは、さまざまなセキュリティ ツールを 1 つのプラットフォームにシームレスに統合し、従来のセキュリティ サイロを分割してサイバー攻撃に対する保護を強化することで、サイバー攻撃を迅速に停止するのに役立ちます。XDR の 5 つの主要な機能を次に示します:
-
インシデントベースの調査
XDR は低レベルのアラートを収集してインシデントに関連付け、セキュリティ アナリストに潜在的なサイバー攻撃の全体像をより迅速に提供します。アナリストは、サイバー脅威アクティビティを見つけ理解するためにランダムな情報を見る必要がなくなり、生産性が向上し、迅速な対応が可能になります。
-
高度なサイバー攻撃の自動中断
XDR は、忠実性の高いセキュリティ信号と組み込みの自動化を使用して、進行中のサイバー攻撃を検出します。その後、侵害されたデバイスとユーザー アカウントの分離を含む効果的なインシデント応答アクションを開始して、攻撃者を阻止します。これらの機能を使用すると、組織はリスクを大幅に削減し、インシデントの爆発半径を制限し、アナリストによるインシデント後の調査とクリーンアップを削減し、簡素化することができます。
-
サイバー攻撃チェーンの可視性
XDRはより広範なソースからアラートを受信するため、アナリストは、ポイント セキュリティ ソリューションでは検出されない可能性のある高度な攻撃のサイバー攻撃チェーン全体を見ることができます。可視性が高いほど、調査時間が短縮され、完全なサイバー攻撃が正常に修復される可能性が高まります。
-
影響を受けた資産の自動修復
XDR は、組み込みの自動化機能を使用して、ランサムウェア、フィッシング、法人メール攻撃活動によって侵害された資産を安全な状態に戻します。悪意のあるプロセスの終了、悪意のある転送ルールの削除、影響を受けたデバイスとユーザー アカウントの封じ込めなどの復旧アクションを実行します。繰り返しの手動タスクから解放されたセキュリティ チームは、より複雑でリスクの高いサイバー脅威への対処に集中できます。
-
AI と機械学習
XDR による AI と機械学習の適用により、サイバーセキュリティのための AI はスケーラブルで効率的になります。脅威にさらされる行動の監視やアラートの送信から調査と修復まで、XDR は AI を使用して、サイバー攻撃の可能性を自動的に検出、対応、軽減します。機械学習を活用する XDR では、不審な行動のプロファイルを作成することができ、レビューの必要性をアナリストに伝えることができます。
-
XDR のしくみ
XDR では、AI と高度な分析を使用して、組織のテクノロジ環境全体の多数のドメインを監視し、アラートを特定して、それらをインシデントに関連付け、最もリスクの高いインシデントを優先させます。各サイバー攻撃をより詳細なコンテキストで表示できるため、セキュリティ チームはより明確かつ迅速に目の前の危険を理解し、最適な対応方法を決定できます。
以下に XDR システムのしくみを手順ごとに示します:
データを収集して正規化します。
システムは、複数のソースからテレメトリ データを自動的に取り込みます。データのクレンジング、整理、標準化を行い、一貫性のある高品質のデータを分析用に確実に利用できるようにします。
データを分析して関連付けます。
システムでは、機械学習やその他の AI 機能を使用して、データを自動的に分析し、アラートをインシデントに関連付けます。広範なデータ ポイントを分析し、サイバー攻撃や悪意のある行動をリアルタイムで見つけることができます。これは、アラートを手動で関連付け、脅威を修復しようとするセキュリティ チームよりもはるかに迅速に行われます。
インシデント管理を容易にします。
このシステムは、新しいインシデントの重大度に優先順位を付け、より多くのコンテキストを提供し、セキュリティ担当者がより迅速にトリアージし、最も重要なサイバー脅威に対する認識と対応を支援します。現在の状況に基づいて、担当者は手動で応答したり、デバイスの検疫や IP アドレスやメール サーバー ドメインのブロックなど、システムが自動的に応答できるようにします。セキュリティ アナリストは、インシデント レポートや推奨される解決策を確認して、その内容に基づいて行動することもできます。
将来のインシデントを防ぐのに役立ちます。
広範な脅威インテリジェンスの分析を通じて、一部の XDR システムは、サイバー攻撃の手法やそれらに対処するためのおすすめのアクションなど、組織固有の環境に関連する詳細なサイバー脅威情報を提供します。セキュリティ チームは、これらの分析情報を使用して、運用に最大のリスクを与えるサイバー脅威から積極的に保護できます。
XDR の主なベネフィット
-
可視性の向上
XDR によって企業の視野が広がり、セキュリティの状況をより深く理解できるようになります。また、エンドポイント、ID、メール、クラウド アプリケーションとワークロードなどの複数のドメイン、データ、その他のソースなどからのテレメトリ データを統合することで、XDR は、それ以外の場合は検出されない可能性がある脅威も明らかにします。
-
脅威の検出と対応の高速化
XDR は、ドメイン間の脅威をリアルタイムで識別し、自動応答アクションをデプロイします。これらの機能により、サイバー攻撃者がエンタープライズ データとシステムにアクセスできる時間を削除または削減できます。
-
合理化された SecOps ワークフロー
アラートを自動的に関連付けることで、XDR は通知を効率化し、アナリストの受信トレイのノイズを減らし、脅威の手動調査に費やす時間を減らします。
-
運用の複雑さとコストの削減
XDR は、複数のベンダーのツールを 1 つのコスト効率の高い XDR プラットフォームに統合することで、セキュリティ操作全体の調査と応答を簡素化します。
-
インシデントの優先順位付けの強化
XDR は、アナリストが迅速に調査する必要がある、危険度の高い進行中のインシデントを評価して強調表示します。また、主要な業界や規制の基準、および企業のカスタム要件に合わせて調整されたアクションも推奨します。
-
SOC 分析情報の高速化
XDR は、高度な脅威よりも先んじるために必要な AI と自動化機能を備えたセキュリティ オペレーション センター (SOC) を提供します。さらに、クラウドベースの XDR プラットフォームを使用すると、SOC はサイバー脅威の進化に合わせて、その運用を迅速にピボットしてスケーリングできます。
-
生産性と効率性の向上
XDR は、反復的なタスクを自動化し、資産の自己復旧を可能にする機能を提供し、労力を削減し、より価値の高いアクティビティにアナリストが集中できるようにします。また、集中管理ツールを使用すると、アラートの精度が向上し、アナリストがアクセスして脅威の調査、修復をする必要があるソリューションの数が簡素化されます。
-
XDR を実装する方法
XDR の実装が成功すると、エンタープライズ操作全体のセキュリティと効率を高めることができます。ただし、XDR プラットフォームを最大限に活用するには、広範な XDR 戦略の作成からシステム パフォーマンスの測定まで、慎重に計画する必要があります。次の手順に従うと、XDR の実装を確実に成功に導くことができます:
セキュリティ のニーズを評価します。
まず、組織の特定のセキュリティ要件を評価して文書化します。ネットワーク サイズ、データの種類、デバイスの種類、アクセス場所を考慮して、最大のリスク領域を特定します。また、データ保護やその他の規制や、準拠する必要がある要件も考慮してください。
戦略的な目標を設定します。
組織の大規模なセキュリティ戦略をサポートする XDR 戦略とロードマップを確立します。既存のサイバーセキュリティの成熟度とスキル セット、アーキテクチャとツール、予算上の制約に基づいて現実的な目標を設定します。
XDR システムを調査して選択します。
高度な AI と自動化機能を備えた堅牢な XDR プラットフォームと、リアルタイムの可視性を提供するユーザー フレンドリなインターフェイスを探します。既存のシステムと互換性があり、データ量の増加に対応するために迅速にデプロイおよびスケーリングできるソリューションを見つけます。エキスパート サービスとサポートを提供する経験豊富なベンダーと協力することも重要です。
実装を計画します。
関連する役割と責任の定義など、XDR システムのデプロイ、構成、管理のための包括的な計画を作成します。システムを既存のインフラストラクチャ、ツール、ワークフローに接続する方法についての概要を作成します。また、ログとテレメトリ データのストレージ要件を確立し、自動アラートとインシデントの優先順位付けのためのリスク評価メカニズムを作成します。
段階的なロールアウトを実行します。
運用上の中断を最小限に抑えるために、システムを段階的に実装してテストします。まず、XDR システムを選択したエンドポイントでテストしてから、技術的な環境全体にデプロイします。システムが稼働したら、インシデント応答プレイブックで自動化されたシナリオを実行し、必要に応じてルールを調整します。
トレーニングとサポートを提供します。
XDR プラットフォームの主要なコンポーネントと機能を効果的に使用および管理するようにセキュリティ チームをトレーニングします。また、アラートを解釈し、脅威に対応するチームの能力に関する知識とスキルのギャップを評価して対処します。継続的なサポートを提供して、実装後の課題に対してチームを支援します。
パフォーマンスを継続的に監視し、改善します。
XDR システムとそのベースライン データを十分に評価する時間を定期的に設け、正確性を確保します。また、システムがより多くの履歴データを取り込み、新たなサイバーセキュリティ リスクが発生するにつれて、プレイブックとルールを調整します。
XDR システムの構成要素
-
エンドポイントでの検出と応答ツール
エンドポイントでの検出と応答 (EDR) ツールは、携帯電話、ノート PC、モノのインターネット (IoT) デバイスなど、さまざまなエンドポイントを監視します。EDR は、企業がウイルス対策ソフトウェアを排除する疑わしいアクティビティを検出、分析、調査、および対応するのに役立ちます。
-
AI と機械学習
XDR プラットフォームでは、最新の AI および機械学習機能を使用して、異常の自動検出、アクティブな脅威の優先順位付け、アラートの送信を行います。また、間違ったアラームをフィルター処理して除外するためのユーザーとエンティティの動作分析も提供します。
-
その他の脅威検出と応答ツール
メールのセキュリティ と ID 保護機能は、承認されていないアクセス、損失、または侵害からユーザー アカウントと通信を保護します。クラウド セキュリティおよびデータ セキュリティ ツールは、データ侵害インシデントなどの内部および外部の脆弱性からクラウドベースのシステムとデータを保護するのに役立ちます。モバイル脅威検出は、エンタープライズ ネットワークに接続されているすべてのデバイス (個人用デバイスを含む) の可視性と保護を提供します。
-
セキュリティ分析エンジン
分析エンジンは、AI と自動化を使用して、無数の個々のアラートを選別し、インシデントに関連付けます。このエンジンは、サイバー脅威インテリジェンスを使用して検出を強化します。これは、進行中の攻撃やその他の脅威攻撃に関する詳細でコンテキスト的な知識です。脅威インテリジェンスは、XDR プラットフォームにも組み込まれており、外部のグローバル フィードからプルされます。
-
データ収集とストレージ
セキュリティで保護されたスケーラブルなデータ インフラストラクチャにより、企業は大量の生データを収集、格納、処理できます。ソリューションは、クラウド、オンプレミス、ハイブリッド環境全体のサードパーティ製アプリケーションやツールを含む複数のデータ ソースに接続され、さまざまなデータの種類と形式をサポートできる必要があります。
-
自動応答プレイブック
プレイブックは、セキュリティ チームが脅威への応答を自動化および調整するために使用できる修復アクションのコレクションです。プレイブックは、特定の種類のインシデントやアラートに対応して手動で実行することも、自動化ルールによるトリガー時に自動的に実行することもできます。
一般的な XDR のユース ケース
サイバー脅威は関連性と種類によって異なり、さまざまな検出、調査、解決の方法が必要です。XDR を使用すると、企業は IT 環境全体で幅広いサイバーセキュリティの課題に柔軟に対処できます。一般的な XDR のユース ケースをいくつか次に示します:
サイバー脅威の追求
XDR を使用すると、組織はサイバー脅威の追求を自動化し、組織のセキュリティ環境全体で不明または検出されない脅威を事前に検索できます。サイバー脅威の追求用のツールは、重大な損害が発生する前に、セキュリティ チームが保留中の脅威や進行中の攻撃を中断するのにも役立ちます。
セキュリティ インシデントの調査
XDR は、攻撃対象面全体のデータを自動的に収集し、異常なアラートを関連付け、根本原因分析を実行します。中央管理コンソールは、複雑な攻撃を視覚化し、セキュリティ チームがどのインシデントが悪意の可能性があり、さらなる調査が必要かを判断するのに役立ちます。
脅威インテリジェンスと分析
XDR を使用すると、組織は、新しい脅威や既存の脅威に関する膨大な量の生データにアクセスして分析できます。堅牢な脅威インテリジェンス機能は、グローバル シグナルを毎日監視およびマップし、それらを分析して、絶えず変化する内部および外部の脅威を組織が事前に検出して対応するのに役立ちます。
メール フィッシングとマルウェア
従業員と顧客がフィッシング攻撃の一部であることが懸念されるメールを受信すると、多くの場合、手動レビューのためにセキュリティ アナリストに割り当てられたメールボックスにメールを転送します。XDR を使用すると、企業はメールを自動的に分析し、悪意のある添付ファイルを含むメールを特定し、組織全体から感染したすべてのメールを削除できます。これにより、保護が強化され、繰り返し実行されるタスクが減ります。同様に、XDR の自動化と AI 機能は、チームがマルウェアを事前に検出して封じ込めるのに役立ちます。
内部関係者による脅威
内部関係者による脅威は、意図的であるかどうかにかかわらず、アカウントの侵害、データ流出、および会社の評判の破損につながる可能性があります。XDR では、動作やその他の分析を使用して、資格情報の不正使用や大規模なデータのアップロードなど、内部関係者による脅威が疑われるオンライン アクティビティを特定します。
エンドポイント デバイスの監視
XDR を使用すると、セキュリティ チームは、侵害と攻撃のインジケーターを使用して、進行中の脅威と保留中の脅威を検出して、エンドポイントの正常性チェックを自動的に実行できます。また、XDR はエンドポイント全体を可視化し、セキュリティ チームが脅威の発生場所、拡散方法、およびそれらを分離して停止する方法を判断できるようにします。
XDR とSIEM
XDR およびエンタープライズ セキュリティ情報イベント管理 (SIEM) システムには、異なる補完的な機能が用意されています。
SIEM は大量のデータを集計し、セキュリティの脅威と異常な動作を特定します。ほぼすべてのソースからデータを取り込むことができるため、高い可視性が実現されます。また、ログ管理、イベントとインシデントの管理、コンプライアンス レポートも効率化されます。SIEM はセキュリティ オーケストレーション、自動化、対応 (SOAR) システムと連携してサイバー脅威に対応できますが、広範なカスタマイズが必要であり、攻撃の中断の自動機能は提供されません。
SIEM とは異なり、XDR システムは、事前構築済みのコネクタを持つソースからのみデータを取り込みます。ただし、より深く、より豊富なセキュリティ テレメトリとアクティビティ データのセットを自動的に収集、関連付け、分析します。また、クロスドメインのサイバー脅威の可視性とコンテキスト アラートも提供するので、セキュリティ チームは最も優先度の高いイベントに集中し、迅速かつ対象を絞った応答をすることができます。
XDR と SIEM を組み合わせれば、企業はデジタル資産のすべての層にわたって包括的な検出、分析、自動応答機能を実現することができます。また、生成 AI 機能を導入するための基盤にもなります。企業はまた、サイバー キル チェーン (一般的なサイバー犯罪の段階を概説したフレームワークで、サイバー攻撃チェーンとも呼ばれます) 全体の可視性も高めることができます。
今後の XDR の傾向
XDR の導入が拡大し続けるにつれて、ベンダーは既存の XDR 機能を引き続き強化し、新しい XDR 機能を導入しています。企業が変化し続けるセキュリティの課題に先んじるのに役立つ、XDR の新たなトレンドをいくつか次に示します:
プラットフォームの統合
サイバーセキュリティ攻撃チェーン全体を可視化するために、XDR プラットフォームは SIEM ソリューションと組み合わされます。これらの統合システムは、チームが脆弱性を特定し、脅威を迅速に監視して修復するのに役立つリアルタイムの分析と分析情報を提供する AI ツールを導入するために不可欠です。
Al と自動化
XDR プラットフォームでは、データ量の拡大と攻撃対象面の分析をより迅速かつ正確に行えるように、さらに強力なアルゴリズムが実装されます。機械学習を通じて、システムのパフォーマンスを継続的に学習し、改善します。また、XDR は、より多くの脅威の検出と対応プロセスを自動化し、人的エラーとワークロードを軽減し、より良い応答結果を出せるようになります。
クラウド ネイティブの XDR
クラウドネイティブの XDR プラットフォームは、ハイブリッド インフラストラクチャとクラウド インフラストラクチャをサポートするたのにより幅広く普及していくでしょう。クラウドネイティブの XDR システムは、チャネルや環境全体のセキュリティを強化するように設計されており、大規模なデータ 量を収集するようにスケーリングできます。また、システムの展開、更新、メンテナンスも効率化されます。
モノのインターネットと運用テクノロジ
IoT および運用テクノロジ (OT) デバイスへの接続は、必要な XDR コンポーネントになります。XDR を使用して、接続されているデバイスの脆弱性をすばやく事前に特定できるため、企業は IoT および OT ネットワーク保護を強化できます。
脅威インテリジェンスの共有
さまざまなソースからの世界的な脅威インテリジェンスは、XDR システムを通じてより簡単に共有され、企業がサイバー犯罪とその活動に関する分析情報を生成できるデータのディープ プールを提供します。 脅威インテリジェンスの共有により、セキュリティ チーム間のコラボレーションと調整も促進されます。
プロアクティブな脅威の追求
脅威の追求は、よりプロアクティブかつ予測的になっています。将来的には、XDR システムは、時間の経過と共に攻撃者のパターンを追跡し、次に攻撃が発生するタイミングと場所を予測する機能と脅威インテリジェンスを提供します。これらの分析情報を使用すると、セキュリティ チームは攻撃を迅速に停止できます。
ユーザーの行動分析
ユーザーの行動分析 (UBA) は、ドメイン間のデータを関連付けて異常な悪意のあるユーザー アクティビティを識別する上で、より大きな役割を果たします。 機械学習と行動モデリングを通じて、通常のユーザー動作のベースラインから逸脱したアクティビティを特定することで、侵害されたアカウントと内部関係者による脅威を検出するのに役立ちます。
ゼロ トラスト統合
将来的には、XDR プラットフォームは、企業ネットワークへのアクセスを保護するのではなく、認証ですべての組織のリソースを保護するゼロ トラスト アーキテクチャと統合できるでしょう。企業は、ゼロ トラスト機能を備えた XDR プラットフォームを使用して、リモート アクセス、個人用デバイス、サード パーティ製アプリなど、よりきめ細かく効果的なセキュリティを実現できます。
インターフェイス、ツール、および機能の簡素化
XDR プラットフォームは、引き続きユーザー フレンドリで直感的なものになります。高度な視覚化は、セキュリティ チームが脅威にさらされるシナリオを迅速に理解するのに役立ちます。合理化されたレポート機能と監査機能は、規制へのコンプライアンスに役立ちます。
ビジネス向けの XDR を実装する
今日のサイバーセキュリティ環境は複雑で多層化されており、急速に変化しています。さいわい、XDR は、サイバー攻撃を (どこに隠れていたとしても) 積極的に検出して対応するための柔軟で包括的なアプローチを提供します。また、生産性と効率も向上します。
XDR プラットフォームや Microsoft のその他のセキュリティ ソリューションを使用して、ビジネス向けの XDR を実装を開始しましょう。
Microsoft Security に関する詳細情報
SIEM と XDR
統合型の脅威対策でお客様のテクノロジ環境全体を保護することができます。
Microsoft Defender XDR
統合型 XDR ソリューションの拡張された可視性と比類のない AI で、クロスドメイン攻撃を阻止できます。
Microsoft Defender for Cloud
マルチクラウド インフラストラクチャをセキュリティで保護することができます。
Microsoft Sentinel
お客様の組織全体の可視化を実現します。
Microsoft Security Copilot の紹介
マシンの速度でインシデントに対する保護を提供してこれに対応し、生成 AI を使用してスケーリングします。
よく寄せられる質問
-
XDR プラットフォームは、企業の既存のセキュリティ ツールを活用する SaaS ベースのセキュリティ ツールであり、既存のツールを統合して 1つの中央集中型セキュリティ システムを作ることができます。XDR によって生のテレメトリ データがさまざまなツールから、たとえばクラウド アプリケーション、メール セキュリティ、ID およびアクセス管理から取り込まれます。機械学習を含む AI を使用して、XDR は自動分析、調査、応答をリアルタイムで実行します。XDR にはセキュリティ アラートを相互に関連付けてインシデントにまとめる機能もあり、セキュリティ チームが攻撃をさらに詳しく可視化することができます。また、インシデントの優先度付けの機能もあり、アナリストが脅威のリスク レベルを理解するのに役立ちます。
-
XDR と EDR を検討するときは、似ているが異なっている点に注意してください。XDR はエンドポイントでの検出と応答 (EDR) から自然に進化したものであり、主にエンドポイントのセキュリティに焦点が当てられます。XDR は EDR の範囲を広げ、組織のエンドポイント、ハイブリッド ID、クラウド アプリケーションとワークロード、メール、データ ストアなど、幅広い製品に統合セキュリティを提供します。XDR の特長は柔軟性であり、企業の既存の多様なセキュリティ ツールや製品と統合することができます。
-
ネイティブ XDR システムは、エンタープライズ企業の既存のセキュリティ ツール群と統合されますが、ハイブリッド XDR ではテレメトリ データ収集を目的としてサードパーティ統合も使用されます。
-
XDR では広範な統合が可能です。これにはエンタープライズ企業の既存の SOAR と SIEM のシステム、エンドポイント、クラウド環境、オンプレミスのシステムも含まれます。
-
マネージド検出と応答 (MDR) は、人間による管理の下でセキュリティ サービスを提供するものです。多くの場合、MDR では企業のセキュリティ ニーズを満たすために XDR システムが使用されます。
Microsoft Security をフォロー