XDRとは

XDRの定義

XDR(拡張ディテクション & レスポンス)とは、サイバー攻撃、不正アクセスや悪用に対する包括的な防御を提供する脅威の検出、および対応への新たなアプローチです。2018年にパロアルトネットワークスのCTOであるNir Zukにより作られ、XDRは従来のセキュリティのサイロ化を解消して、すべてのデータ ソースに対し、検出と対応をおこないます。

市場調査会社のGartnerによると、XDRは「SaaSベースでベンダー固有のセキュリティ脅威の検出とインシデント対応ツールであり、複数のセキュリティ製品を1つのまとまったセキュリティ運用システムにネイティブに統合」します。Forrester ResearchによるXDRの定義はさらに広範です。 「脅威の検出、調査、対応、および捕捉をリアルタイムで最適化するEDRの進化版。XDRは、セキュリティに関連するエンドポイント検出を、ネットワーク分析と可視性(NAV)、電子メール セキュリティ、IDおよびアクセス管理、クラウド セキュリティなどのセキュリティとビジネス ツールのテレメトリと統合します。これはビッグ データ インフラストラクチャ上に構築されるクラウド ネイティブのプラットフォームで、セキュリティ チームに柔軟性、拡張性、および自動化の機会を提供します。」

XDRの仕組み

XDRソリューションは、脅威の検出と対応に予防的アプローチを取り入れています。エンドポイント、ネットワーク、クラウド データなど、あらゆるデータを可視化すると同時に、今日のますます高度化する脅威に対処するための分析と自動化を適用します。XDRを使用して、サイバーセキュリティ チームは以下のことを実行できます。

  • 隠れた巧妙でステルス性の脅威を未然にすばやく特定する
  • 組織内のあらゆるソースまたは場所で脅威を追跡する
  • テクノロジを運用する担当者の生産性を向上させる
  • セキュリティ投資から得られる価値を増やす
  • 調査をより効率的に完了する

ビジネスの観点からは、XDRプラットフォームによってサイバー攻撃の成功を阻止できるとともに、セキュリティ プロセスを簡素化して強化できます。ユーザー、データ、およびアプリケーションが保護されていると企業は戦略的優先事項に専念できるため、この結果、より適切なサービスをユーザーに提供し、デジタル変革の取り組みを加速させることが可能になります。
 

 

XDRの利点

  • エンドポイント プロテクションにより既知および未知の攻撃をブロック: 統合されたAIを活用したアンチウイルスと脅威インテリジェンスにより、マルウェア、エクスプロイト、およびファイルレス攻撃をブロックします。
  • すべてのデータを可視化: あらゆるソースからのデータを収集および相関付けし、脅威の検出、トリアージ、調査、捕捉、対応を行います。
  • 高度な攻撃を24時間常に自動検出: すぐに使用できる分析およびカスタム ルールを使用して、advanced persistent threat (APT攻撃 - APT)やその他の隠ぺいされた攻撃を検出します。
  • アラート疲れを防止: 根本原因の自動分析と統合インシデント エンジンにより調査が簡素化されるため、チームがレビューする必要があるアラートの数が減り、高度なスキルがなくてもトリアージが可能になります。
  • SOCの生産性を向上: エンドポイント セキュリティ ポリシーの管理とネットワーク、エンドポイント、クラウド環境の監視、調査、対応を1つのコンソールに統合して、SOCの効率を高めます。
  • ユーザーを妨げることなく攻撃者を一掃: ユーザーやシステムのダウンタイムなしに攻撃を阻止します。
  • 高度な脅威をシャットダウン: 内部関係者の不正利用、外部からの攻撃、ランサムウェア、ファイルレス攻撃とメモリ専用攻撃、および高度なゼロデイ マルウェアからネットワークを守ります。
  • セキュリティ チームを増強セキュリティ侵害の兆候(IOC)や異常な動作を検出するとともに、インシデントをスコアリングして分析を優先順位付けすることで、あらゆる段階で攻撃を阻止します。
  • 侵害後にホストを復元: 修復策の提案機能を使用して、悪意のあるファイルやレジストリ キーを削除し、被害を受けたファイルやレジストリ キーを復元することで、攻撃の被害から迅速に復旧します。
  • 検出と対応をサードパーティのデータ ソースに拡張: サードパーティ製のファイアウォールから収集されたログに対する振る舞い分析を可能にします。同時に、サードパーティのアラートを統合されたインシデント ビューおよび根本原因の分析に組み込むことによって、さらに高速な調査を実現します。
     

「誰にでもわかるXDR」を入手

 

EDRやMDRとXDRとの違い

XDRセキュリティは、エンドポイント ディテクション&レスポンス(EDR)、ネットワーク ディテクション&レスポンス(NDR)、ユーザーの振る舞い分析(UBA)、セキュリティ情報イベント管理(SIEM)などの、攻撃に対する階層化された可視性のみを提供する従来の事後対応アプローチに代わるものです。階層化された可視性は重要な情報を提供しますが、以下のような問題につながる場合もあります。

  • 大量の不正確で不完全なアラート。EDRソリューションでは攻撃の初期ベクトルの26%のみを検出し1、また、セキュリティ アラートが多すぎるために、セキュリティ専門家の54%が調査すべきアラートを無視しています。2
  • 専門知識を必要とする、時間のかかる複雑な調査。EDRでは、侵害の特定にかかる平均時間が197日に増え3、侵害の封じ込めにかかる平均時間が69日に増えています。3
  • ユーザーやビジネス中心の防御ではなくテクノロジ中心のツール。EDRでは、ユーザーや組織の運用ニーズではなく、テクノロジのギャップに重点を置いています。平均的なセキュリティ オペレーション センターでは40以上のツールが使用され4、セキュリティ チームの23%がセキュリティ調査の実施ではなくセキュリティ ツールの維持と管理に時間を取られています。5

EDRセキュリティとは?

エンドポイント ディテクション&レスポンスは、エンドポイント デバイス上での脅威の検出と調査に使用されるツールのカテゴリを指します。EDRツールは一般的に、検出、分析、調査、および対応機能を提供します。このようなセキュリティ ソリューションと比較して、XDRはエンドポイント、クラウド、IDなどのソリューションからのデータを統合し、より広い視野を持ちます。

EDR製品はエンドポイント エージェントにより生成されたイベントを監視して疑わしいアクティビティを探し、SecOpsアナリストによる問題の特定、調査、修復に役立つアラートを作成します。またこれらのソリューションは、疑わしいアクティビティに関するテレメトリ データを収集し、そのデータを相関されたイベントからのコンテキスト情報でエンリッチ化することもできます。ただし、重要な機能が欠けているために、インシデント対応が遅れます。EDRソリューションでは、完全な可視化のための他のツールやデータ ソースとの統合は行われないため、包括的な防御を提供することはできません。

MDRとは

マネージド ディテクション&レスポンス(MDR) サービスは、脅威の特定、調査、対応でのセキュリティ運用の有効性を向上させる、専用の担当者とテクノロジを提供します。これらのサービスは、広範なセキュリティ アラートの管理とトリアージに重点を置く従来のマネージド セキュリティ サービスを補完するものです。

多様な定義が存在しますが、MDRサービスは一般的に以下の価値を提供します。

  • リソースの増強では、 脅威ハンティング、フォレンジック調査、インシデント対応など、専門家のスキル セットを必要とするタスクに関して、SecOpsチームを支援します。
  • セキュリティ成熟度の向上により、予防的で365日24時間利用可能な、脅威管理に対する成熟したアプローチを提供し、セキュリティ運用の他の側面に関しても変革の道を開きます。
  • 価値実現までの時間の短縮により、厳選されたテクノロジ スタック、セキュリティの専門家、および運用上のベストプラクティスを提供し、検出と対応にかかる時間を年単位から日単位に短縮します。
  • 平均検知時間(MTTD)と平均対応時間(MTTR)の短縮により、決定された時間ベースのサービス レベル契約(SLA)内での、高度な脅威の高速な検出と対応が保証されます。

Cortex XDR | パロアルトネットワークスのXDR製品

Cortex XDRは、ネットワーク、エンドポイント、およびクラウドのデータをネイティブに統合して高度な攻撃を阻止する、世界初のディテクション&レスポンス アプリケーションです。

Cortex XDRは、ネットワーク、エンドポイント、クラウド、およびサードパーティのデータをネイティブに統合して最新の攻撃を阻止する、世界初の拡張ディテクション&レスポンス プラットフォームです。防御、検出、調査、および対応を1つのプラットフォームに統合して、比類ないセキュリティと運用効率を実現します。Cortex XDRは振る舞い分析を使用して脅威を正確に検出し、根本原因を明らかにして調査を加速させます。

適用ポイントとの緊密な統合により迅速な隔離を実現し、被害が出る前に攻撃を阻止します。マネージド脅威ハンティング サービスと組み合わせることにより、弊社のXDRソリューションは、24時間対応の防御および MITRE ATT&CK 手法への業界トップ クラスの対応を提供します。



Cortex XDRの機能および利点については、こちらのビデオ をご覧ください。

XDRの詳細については、以下のいずれかの資料をダウンロードしてください。

XDR基本ガイドeブック

XDRホワイト ペーパー

Cortex XDRカスタマー サクセス データシート

概要: 米国政府向けのCortex XDR

XDRの解説画像