- 2025/01/16
- XDR
「Cybereason XDR」を題材にXDRのシステム構成や利用イメージについて知る
Post by : Naomasa Aoki
近年、さまざまなセキュリティベンダーから「XDR(Extended Detection and Response)」の製品・サービスが提供されるようになりました。弊社でも現在「Cybereason XDR」というXDR製品を提供しており、既に国内外の数多くのお客さまに導入いただいています。
一方、XDRはまだ登場して日が浅いソリューションでもあるため、具体的に何が実現できるものなのか、なかなかイメージが湧かない方も多いかもしれません。そこで本稿ではCybereason XDRの具体的なシステム構成や画面構成を示しながら、XDRの具体的な利用イメージを紹介できればと思います。
さまざまなデータソースからログ・アラート情報を自動収集
Cybereason XDRのシステム構成は、基本的には弊社のEDR製品「Cybereason EDR」やNGAV製品「Cybereason NGAV」とほぼ共通しています。EDR/NGAVでは、PCやサーバーといったエンドポイントにエージェントソフトウェアである「センサー」を導入することで、弊社が運営するクラウド環境に自動的にログが収集され、解析処理が行われました。
XDRではこれに加え、エンドポイント以外のセキュリティ機器やネットワーク機器、クラウドサービスなどからも広くログやアラートの情報をクラウド環境上に集め、これにEDR/NGAVから集めた情報を加えた上で相関分析を行い、高度なサイバー攻撃の全体像をあぶり出します。
なおEDRでは各エンドポイントにセンサーを導入する必要がありましたが、XDRの監視対象である機器類やクラウドサービスにはセンサーを導入する必要はありません。実際にデータ連携を行う方法は各製品・サービスごとに異なりますが、基本的にはクラウドサービスの場合はAPI連携により情報を取得し、それ以外の機器類についてはSYSLOGを転送するようなイメージでログデータをクラウド環境に送信します。
API連携やデータ送信のインタフェースはCybereason XDRが標準装備していますので、ユーザーは連携先の製品・サービスを選んで簡単な設定作業を行うだけで、後は自動的に情報が収集されて分析が行われるようになります。
多種多様なデータソースから収集した情報を4段階に分けて分析
こうして収集された情報は、Cybereason XDRの内部で大きく4段階に分けて分析処理が行われます。まず1段階目の「Tier 1」では、EDR・NGAVやクラウドサービス、ネットワーク機器などさまざまなデータソースから集めた各種ログのうち、セキュリティアラートとなるログを集約します。第2段階の「Tier2」では、各データソースではアラートにならなかったログの中から、Cybereasonの検知ロジックでセキュリティアラートとして判断したものを再判定します。
さらに3段階目の「Tier 3」では、「Tier1」「Tier2」で集約した異なるデータソースのログやアラートを互いに突き合わせて、相関分析を行います。その結果、特定のログやアラートの組み合わせが「1つの攻撃ストーリー」であることを突き止めるのが、4段階目の「Tier 4」です。ここで確かに一連の攻撃ストーリーが存在すると判定されたものは、「Malop」というアラートでユーザーに通知されます。
Cybereason XDRがユーザーに提供する画面インタフェースも、基本的にはこの4段階の分析レイヤーにそれぞれ対応しています。ユーザーがCybereason XDRの管理コンソールにログインすると、まずは現在の不審イベントやアラート、Malopなど各種の統計情報が一目で把握できる「ダッシュボード画面」が表示されますが、さらに詳細な情報を確認するためには「不審なイベント」と「XDR Malop」という2つの画面が主に用いられます。
攻撃ストーリー全体と個別イベントの詳細を単一コンソール上で可視化
「不審なイベント」画面は、前出のTier 1およびTier 2の情報を参照するための画面であり、収集したログやアラートの中から不審イベントと判定されたものを一覧表示できるほか、それぞれのイベントを個別に選択することで詳細な内容を確認できます。
一方「XDR Malop」はTier 4に該当する画面で、複数の不審イベントの組み合わせが「悪意のある一連の攻撃ストーリーである」と判定された場合、それらがMalopという単位に分類されて一覧表示されます。「不審なイベント」画面と同じく、個別のMalopを選択することで、攻撃ストーリー全体を構成する各イベントがどのような時系列で、どのような順序に沿って発生しているかをビジュアルな形式で確認できるようになっています。
さらには「脅威が検知された端末の隔離」「悪用されたアカウントの凍結・パスワードリセット」といった初期対応作業も、場合によっては他の製品と連携することで「XDR Malop」画面から即座に実行できます。現状ではここまでの連携機能を実現できている製品は連携している製品の中でも限られたものになりますが、将来的にはさらに多くの製品と連携して、より多くの初期対応作業がリモート実行できるようになる予定です。
実際には今回紹介したほかにも、Cybereason XDRには実に多くの機能が実装されています。興味を持たれた方は、ぜひ弊社まで気軽にお問合せいただければ幸いです。
サイバー攻撃を防御するためのXDR入門ガイド〜少ない労力で強力なセキュリティ効果を手にするには〜
多くのセキュリティ担当者にとって、サイバー脅威はもはや制御不能な状況に陥っています。攻撃手法をますます巧妙化させる攻撃者は、従来の脅威検知とインシデント対応のアプローチに対して優位性を大きく高めています。
一方、防御側は、スキル不足、拡大の一途をたどる攻撃ポイントの可視化の欠如、およびアラートと誤検知によってアナリストを困惑させる多数のサイロ化したセキュリティツールに悩まされ続けています。
そこで期待されているのがXDR(Extended Detection and Response)です。本資料では現実のビジネスとセキュリティ運用上の課題を大規模で解決するXDRの特長やCybereason XDRについてご紹介しています。皆様のXDRに関する情報のアップデートにお役立てください。
https://www.cybereason.co.jp/product-documents/brochure/10243/
