ブログ(トレンド&インサイト)

XDR: SOCにインパクトを与える

組織がアラート疲れや、セキュリティ管理を監視するために切り離されたツールに悩まされている中で、最もホットな新しいサイバーセキュリティ技術のカテゴリの 1 つがExtended Detection and Response(XDR)であることは驚くべきことではありません。クラウド主導の分析、検出、対応を通じて、セキュリティ制御データとセキュリティ運用をより良い形で統合するように設計されたXDRのカテゴリは、セキュリティオペレーションセンター(SOC)の新たな効率化を促進するように設定されています。

ITアナリスト企業ESGが最近実施した調査では、70%の組織が、すでにXDRを使用している、または検討している、または今後6ヶ月以内にXDRソリューションに投資する正式な予算を組む予定であると回答しています。この積極的なXDR導入計画の背景には何があるのでしょうか?複数のセキュリティ制御にまたがるセキュリティデータをまとめるというアイデアと、すぐに利用できるアプローチを提供するXDRソリューションの見通しから、セキュリティチームは、複数の制御ポイントから複雑なセキュリティデータの収集、相関分析を軽減しつつ、高度な脅威に対応するべくセキュリティ分析を強固にする動きが急速に進められています。

真のXDRソリューションは、制御ポイント、セキュリティデータ、分析、運用を単一のエンタープライズソリューションに統合するサイバーセキュリティ製品の統合セットです。XDR は、エンドポイント、ネットワーク、クラウド センサーなど、複数のタイプのセキュリティ遠隔測定をサポートすることを意味します。XDRは、データソースとセキュリティ運用の間のより優れた技術統合を提供し、検出と対応を迅速化することを約束します。

セキュリティアラートの課題に対応

異なるセキュリティ製品を管理することによって生成されるセキュリティデータとアラートに関連して解決すべき最大の課題は、セキュリティアナリストが適切なシグナルに集中できるようにアラートのノイズをフィルタリングすることでした(回答者の38%)。つまり、現在XDRを使用している、または検討している回答者の40%が望んでいる最も重要な成果、すなわち、セキュリティアラートの忠実性と優先順位を向上させて、イベントのトリアージと対応を容易にする(レスポンスタイムの向上につながる)ことが可能になるということです。

XDRソリューションに注目すべき点

XDRを検討する際に重要な要素は以下の通りです。

  1. 制御にとらわれない
    XDR を使用してセキュリティ運用を簡素化する場合の問題点は、ほとんどの XDR は、組織が単一のベンダーからセキュリティ制御/センサー(ネットワーク、エンドポイント、クラウド、メールなど)を購入する必要があり、既存の技術の改修や交換を必要とすることが多いということです。制御にとらわれない XDR を使用することで、セキュリティ組織は、検出と対応の向上を維持しつつ、一流の技術を選択することができます。
  2. マシンベースの相関分析と検出機能
    マシンは、大規模なデータセットを解析し、人間よりも速く、より正確にパターンを見ることができます。また、EDRアラート、ネットワークイベント、アカウントサービス、脆弱性スキャンデータなどを横断して、センサー間の「三角測量」を行い、真のシグナルと過剰な検知ノイズをより正確に区別することを人間が行うことはほぼ不可能でしょう。マシンがより正確かつ一貫性を持って、実際のインシデントを見つけ出すことができれば、アナリストが第一階層の監視、つまり画面とにらめっこする時間が減り、顧客対応とインシデント対応に集中できる時間が増えることになります。その結果、アナリストはより幸せになり、仕事への満足度も向上します。また、マシンベースの検出機能により、スタッフを追加することで24時間365日の対応が可能になる可能性があります。
  3. 構築済みのデータモデル
    SIEMやSOARプラットフォームでカスタムルール/コンテンツ/コードを書きたいと思う人はいないでしょう。このような複雑なモデルをすぐに使えるようにすることは、大きなメリットになります。これは、セキュリティエンジニアリングにかける時間とコストを削減することを意味し、より付加価値の高いプロジェクトに取り組むことができます。タイムリーな脅威インテリジェンスを自動的に統合することも、既知の脅威との関連性を判断するためのもう一つの重要な要素です。
  4. 異なるSIEM、SOAR、ケース管理ツールとの統合
    XDR は、これらのセキュリティ資産とより良く連携するでしょう。主な機能は、自動化されたケースの作成、時間の経過とともにケースに新しいイベントや追加のイベントをスコーピングすること、モデルの改善のために SOAR から XDR にフィードバックが提供されることなど組み込みの統合が挙げられます。

技術にとらわれないXDRにより、セキュリティチームは幅広いセキュリティ技術やベンダーにまたがる分析を行い、ノイズの多い偽陽性を出さずに、リアルタイムでインシデントを発見する真の結果を提供するなど、さまざまなメリットがあります。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:March 02, 2021 「XDR: Making an Impact on the SOC