EDR と XDR

XDR（Extended Detection and Response）とは、その名の通り拡張された対象に対して、脅威を検知・対処する製品・サービスとなります。
そもそも、何が拡張されたのでしょうか。XDRが誕生する基となった、EDR とは何なのか、改めておさらいをしてみます。

EDR（Endpoint Detection and Response）と呼ばれる製品・サービス群も、突然セキュリティの世界に登場した訳ではありません。
登場までの脅威は、アンチウイルスソフトやファイヤウォール、IDS/IPS など、現在では従来型と呼称されるセキュリティ対策により防ぐことができていました。

ですが、2010 年代初頭、高度化する脅威からそれらでの防御が難しくなり "エンドポイントで実行された脅威を検知し対応する" ための EDR が開発・利用されるようになりました。
この検知・対応のため EDR ではエンドポイントのアクティビティ情報をリアルタイムで収集・監視しています。

さらに10数年が経過し、脅威が進化を遂げた結果、単一エンドポイントの可視化では組織に対しての攻撃を特定・対処する手段として不十分となってきました。
XDR は可視化する範囲をエンドポイント単一から "拡張" しメール・ネットワーク全体・クラウド環境などの領域と相関分析を行います。
結果、攻撃の全体像が可視化され、速やかで正確な根本原因の特定と、対処を行うことが可能となったのです。

XDR は SIEM と同じ？

よく比較される SIEM（Security Information & Event Management）との違いはなんでしょうか。
上記の通り XDR は EDR から派生した製品・サービスとなります。
つまり、エンドポイントのログ情報を主軸にし、必要に応じて別領域のログ情報との相関分析を行うものです。

ですが SIEM はそもそも組織全体に存在する大量のシステム・機器からログを収集、分析、保管するシステムとして開発されました。これは複数のユースケースにアプローチ可能な優れたシステムですが、その導入やチューニングに多大な工数が必要です。

また、前述多数のデータソースを基にアラートを生成しますが、あくまで定義されたアラートを生成するだけの受動的なツールであるとも言えます。

SentinelOne Singularity XDR が選ばれる理由

XDR を選定するうえで、考慮する点は複数ありますが、今回は以下の点に注目してみます。

• 基となる EDR 機能が優れているか
• 拡張性のある分析エンジンを持つか
• 集中管理と AI アシストによる (相関) 分析の高速化が可能か

 
1つずつ、SentinelOne の優位性を確認していきます。

基となる EDR 機能が優れているか

基となる EDR 部分がお粗末なものでは、それを拡張した先に明るい未来はありません。
SentinelOne は、いわゆる EPP 機能も EDR の一部として考えられています。
そのため、まず静的・動的 AI などを組み合わせたエンジンにより、脅威からエンドポイントの保護を強固に行います。
動的な検知においては、容易に変更が可能なハッシュや C&C サーバ情報などの情報ではなく攻撃者のやり口・手口 (MITRE ATT&CK フレームワーク) を対象にして検知を行うことが重要となってきます。
SentinelOne は、そのやり口・手口のほとんどをカバーした検知が可能となっています。

※MITRE ATT&CK フレームワーク 対応範囲 (着色部分が対応領域)

そのうえで、万が一に脅威が侵入・実行された場合ですが、SentinelOne ではエンドポイントのアクティビティがコンテキスト化 (個別ログからストーリーを作成) され、正確に収集・保全されています。
そのため、これらを利用することにより攻撃行動の全体把握や、エンドポイントに発生した悪意ある変更点の修復や暗号化からのロールバックを、容易に行うことが可能なのです。
※ロールバック機能は Windows OS でのみ利用可能です。

拡張性のある分析エンジンを持つか

XDR にはネイティブ型、オープン型いずれかの性質があります。
前者は、基本的にはネットワーク機器やアプライアンスをもつベンダーが、自社の機器やサービスを対象に開発・提供を行うものとなります。
シングルベンダーでイントラ・社内システムが構築している場合、導入や連携が容易であるという強力なメリットがあります。ですが、一般的にそのような運用をされている企業は少ないのではないでしょうか。

SentinelOne は、単一ベンダーやサービスではなく、複数のそれらを取り込む思想、オープン型で設計されています。
様々なサードパーティ製品との連携を容易に行えるよう、マーケットプレイスと呼ばれる機能が実装されており、ユーザはコンソール上からワンタッチで各製品との連携設定を実行することが可能です。

※SentinelOne マーケットプレイス参考画面

集中管理と AI アシストによる (相関) 分析の高速化が可能か

脅威の確認や対処で複数の画面を往復することは確認・操作ミスの温床となり、運用・学習コストの増大にも繋がります。
また、発生した脅威を人間が一つ一つ目と手で確認していくことは、現実的に不可能です。

SentinelOne は EPP・EDR・XDR その他オプション領域 (ITDR 等) の管理画面を単一の Web コンソールで提供します。
驚異の分析には "Purple AI" と呼ばれる AI を用いた自然言語を利用した検索・抽出が可能なため、従来のクエリ言語を用いたそれと比較して高速なオペレーションが可能となっています。

※Purple AI を利用した自然言語によるログ検索画面

おわりに

XDR とはシステム、サービスのコンセプトであり、それを構成する要素それぞれを理解しなければなりません。エンドポイント (EDR)・メール・ネットワーク全体・クラウド環境 などのログソースがあり、それを収集・分析する領域などから構成されるものとなります。
XDR 初期導入から組織にあるそのすべてを対象とする必要はなく、最終的な全体像をイメージしたうえで限られた予算・時間でスタートできる範囲の実装を行っていくことが重要になります。
製品の初期導入時や運用に不安がある場合は、当社サービスなどでのご支援も可能ですので、お気軽にご相談いただけますと幸いです。

＜SentinelOneの詳細はこちら＞
https://www.techmatrix.co.jp/product/sentinelone/index.html

​​​​​​​