ブログ

catch-img

SentinelOne社のXDR戦略~点ではなく面で対策するソリューション~

目次[非表示]

  1. 1.はじめに
  2. 2.Singularity Core/Control/Complete
  3. 3.Singularity Ranger Insights
  4. 4.Singularity RangerAD/RangerAD Protect/Identity
  5. 5.Singularity Data Lake
  6. 6.おわりに

はじめに

SentinelOne社において最も販売実績が多く、最も注力しているのはSingularity Core/Control/Completeという名前のEDR製品です。ただし近年ではXDRの領域についても積極的にカバレッジを広げつつあります。XDRというのはeXtended Detection and Responseの略称で、EDRを更に拡張したセキュリティソリューションのことを意味します。今回はSentinelOne社のXDR戦略について簡単に説明させていただきます。

Singularity Core/Control/Complete

EDRであるSingularity Core/Control/Completeは第三者機関からも高い評価を受けているSentinelOne社の主力製品です。管理コンソールもシンプルで使い勝手が良く、EPPとしての検知力も申し分ありません。仮にランサムウェアによって侵害を受けファイルが暗号化されてしまったとしても、数クリックで元の健全な状態に戻せるロールバック機能も実装されています。


EDRとしての脅威ハンティング、インシデント対応機能も十分です。


またSentinelOneの管理コンソールは階層構造を強く意識して設計されているため、海外拠点や関連会社、複数支店をお持ちで各々の管理業務は各々に委任したいというニーズにも適切に対応することが可能です。例えば下図のような組織の場合、[テクマトリックス株式会社]に所属する管理者は自社も含め全関連会社のログを閲覧できたり設定変更が可能で、ただし[クロス・ヘッド株式会社]に所属する管理者にはクロス・ヘッド株式会社に関するログの閲覧や設定変更のみを許可し、合同会社医知悟に関するログの閲覧や株式会社カサレアルの設定変更を禁止するということが可能です。

Singularity Ranger Insights

組織が管理しているデバイスと組織によって管理されていない、いわゆる野良デバイス、リスクが高いのはどちらでしょうか。Singularity Ranger Insightsというアドオンライセンスをご購入いただくと、野良デバイスを可視化することが出来るようになります。不要なデバイスは企業内ネットワークに接続させない、もしも業務上必要なデバイスなのであれば組織によって適切に管理されるようにすることが重要です。


Singularity Ranger Insightsを有している環境では、アプリケーションの脆弱性を可視化することも可能になります。殆どの侵害被害は既知の脆弱性を利用したものと言われています。事前に脆弱性を可視化し対策を取ることは、組織をセキュアに保つ上で非常に重要です。

Singularity RangerAD/RangerAD Protect/Identity

Singularity RangerAD/RangerAD Protect/Identity、これらの製品はITDRと呼ばれるカテゴリのソリューションに属する製品です。ドメインコントローラの設定監査を行ったり、ドメインコントローラが持つ様々な情報や、各デバイスの認証情報の搾取を検知・防御します。特に標的型攻撃の場合、ドメインコントローラが攻撃の対象になるケースが多く見受けられます。ドメインコントローラはその組織を管理していると言っても過言ではありません。ITDRはまだ新しいソリューションでエンドポイントの防御にのみつい目を向けがちになりますが、ドメインコントローラや認証情報の防御はそれと同じか場合によってはそれ以上に重要と言えます。

Singularity Data Lake

Singularity Data Lakeと呼ばれる検索画面には通常EDRで収取した情報(テレメトリデータ)のみが表示されます。SentinelOne社ではXDR戦略の旗の下、サードパーティ製品との連携にも力を入れています。サードパーティ製品と連携すると、管理コンソール画面に表示される情報が増えたり、レスポンスを連携させたり、またログを取り込むことも出来るようになります。
 
ログの取り込みに関しては、連携が謳われている製品だけではなくsyslogメッセージやmessages等様々な汎用的なログを取り込むことも可能です。現在でもEDRで収集するテレメトリデータを用いたカスタマイズルールを利用者自身で作成することが可能ですが、将来的にはサードパーティのログも含んだかたちでのカスタマイズルールを作成することが出来るようになると言われています。

おわりに

組織に対する攻撃は年々高度化されており、点のソリューションだけで全ての脅威に対応することは極めて困難になってきています。ひとたび攻撃を受けてしまえば、ニュースやSNSで情報は拡散され組織の信頼が失墜する恐れすらあります。そうならないためにも、Singularity Ranger InsightsやSingularity RangerAD/RangerAD Protect/Identityを使って常日頃からリスクを可視化、既知の脆弱性に対処し、いざというときはSingularity Core/Control/Completeを用いて防御、迅速に復旧、またSingularity Data Lakeに蓄積された情報を用いてより高度な検知、今後同様の事象を発生させないための原因調査をすることが重要です。SentinelOne社のXDR戦略のように、点ではなく面で対策するソリューションを是非ご検討ください。

<SentinelOneの詳細はこちら>
https://www.techmatrix.co.jp/product/sentinelone/index.html

CONTACT

ITインフラに関してお悩みの方は
お気軽にご相談ください

ご不明な点はお気軽に
お問い合わせください。
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。

人気記事ランキング

タグ一覧