[レポート] なぜXDRを最優先で検討すべきなのか？XDRを選定する際に注意する重要ポイント #SecurityDaysSpring2023

最初に

東京で開催された Security Days Spring 2023 に参加してきました！視聴させていただいたセッションは下記です。
なぜXDRを最優先で検討すべきなのか？XDRを選定する際に注意する重要ポイント | Security Days Spring 2023

セッション概要

XDRはパロアルトネットワークスの創業者Nir Zukにより提唱されたビジョンの1つです。 事業継続の観点から、インシデント発生時に速やかな報告や対応を求められる時代となりました。そのため、エンドポイントだけでなく、あらゆるログを活用した分析や調査が求められています。 パロアルトネットワークスが提供するCortexプラットフォームは、オープンなXDRとして様々なログを取り込みクラウド上の機械学習にて分析を行うことで、脅威に対しての調査対応、セキュリティ運用を行うプラットフォームを提供します。

スピーカー

パロアルトネットワークス（株）　Cortex営業本部 SEマネージャー　室井 俊彦 様

レポート

ここ数年の、脆弱性状況

• 大都市で 10 ~ 20% 増えている。

それに応じて攻撃の数が増え、セキュリティ製品が排出するアラート数が増加している。特に昨年度からのランサムウェアは非常に脅威。

一般的な企業のセキュリティ対策動向（パロアルト調査）

• 45 種類のセキュリティ製品を使用している

エンドポイント1つにしても、ウイルス対策、EDR、デバイス制御、資産管理など。様々なエージェントを入れて、NW、サーバなどの様々なIT機器にツールを使用している。

• アラートの対処には4日以上かかる状況

アラートは 1万件以上/日、発報されている。一番の原因は、サイロ化されたツールによるログの分散。また検知の精度が低い。

• セキュリティエンジニアは、日々大量のアラートに追われている状況

重要度に応じての対応も疲弊しており、数も足りてない。セキュリティエンジニアは増えているが、需要が高すぎて市場規模で足りてない。離職率も高く、人材育成も難しい。ナレッジの蓄積が出来てない企業も多い。

「セキュリティ機器のアラート監視 → 脅威検知 → 人が対応」のような従来の運用のままだと、アラートが増え、巧妙化した攻撃の質と量が増えている状況では限界がくる。また、SIEM でデータを集めるだけでは、完全に自動化するのが難しく、人がある程度裁かないといけない。それなら、ログを AI に食わせて学習 → 脅威を発見させれば、自動化して対処できる。

• AI 運用だと
• すべての攻撃を検知
• 調査、対応をリアルタイムに行える

• AI 運用するには
• まずは NW、認証基盤などの様々なデータを収集
• 検知をルールやシグネチャではなく、AI を使った分析エンジンに移行していく
• オートメーションさせて対応の自動化を行う→人が楽になる

CORTEX XDR

• クラウドネイティブ
• 各クラウド、オンプレで使用可能
• トリアージ可能
• FW のトラフィックログを取り込んで、ネットワークトラフィック
• AD,Okta など、認証のログを入れると、ユーザアクティビティ

• ライフサイクル
• データ取り込み
• データのフォーマットを正規化
• ML で分析
• 結果、関連するインシデントをまとめる
• 対応を自動化
• 自動化できない範囲のみを人が対応

• 相関分析
• 大量に出力されたアラートを相関分析して、1つのインシデントとしてまとめて、重要度分けしてくれる
• スティッチング
• NW、FW など、関連性のある複数の機器から出力されるデータをそれぞれ合成してくれる。
• UEBA
• アイデンティティ（ID）系のセキュリティインシデント
• ML で、ユーザ、デバイスの情報を自動で判定してくれる
• 通常と異なるアクティビティを判定して、リスク度合いを評価してくれる
• 何時ログインしたか、どこからログインしたかなどの情報をもとに見てる
• アラート通知
• クエリ
• SIEM と互換性を持った SQL があり、高度な条件を書いてスコープを絞った検索も可能

まとめ

XDR では、エンドポイントのみならず、複数機器のログを一か所に収集して、機械学習にかけることで、脅威の調査が出来、単純な対応は自動化できるので、セキュリティエンジニア不足にも対応できます。CORTEX というブランドで XDR を提供されているとのことです。SOC プラットフォームの導入をご検討されている方は一度ご確認されてみてはいかがでしょうか。

Cortex XDR