興味のあるサイトや記事に専門用語がでてきたら「なにそれ?」「気にはなるけどほっといているワード」ってあると思うんだ。
それをこのカテゴリーで書いています。
(備忘録と友達からの質問に答えています)
1.XDR
2.EDR
3.EDRとXDRの違い
・XDR
XDRとは「Extended Detection and Response」の略で、インシデントの監視と対処の両方を行うサイバーセキュリティソリューションの一つです。※ソリューション (解答、解決策、解決、解法)
XDRは「検知、監視、運用をエンドポイントだけでなく幅広く行う注目のソリューション」
■XDRシステムに含まれる主な機能
- エンドポイントプロテクションプラットフォーム(EPP)
- エンドポイントディテクション&レスポンス(EDR)
- クラウド・アクセス・セキュリティ・ブローカー(CASB)
- セキュアWebゲートウェイ(SWG)
- ネットワークファイアウォール、ネットワーク侵入防止システム、統合脅威管理製品
- アイデンティティおよびアクセス管理製品(IAM)
- データ損失防止製品(DLP)
- ユーザおよびエンティティの行動分析(UEBA)
- ネットワークトラフィック分析(NTA)
- グローバル脅威インテリジェンス
「XDR」の「X」は「拡張」という意味です。
XDRは、2018年にパロアルトネットワークスのNir Zuk氏によって造られました。
・EDRとは
EDRとは「Extended Detection and Response」の略で、端末における脅威の検知と対応を行うソリューションのこと。ユーザーが利用するパソコンやサーバー(エンドポイント)における不審な挙動を検知し、迅速な対応を支援するソリューションです。
EDRは、「水際で防げない攻撃の「可視化」と「対応支援」を実現」
PCやサーバーなどを保護するエンドポイントセキュリティは大まかに2つに分かれます。
1. EPP(Endpoint Protection Platform)
2. EDR(Endpoint Detection and Response)
※ エンドポイント
エンドポイントとは、端点、終点、末端などの意味を持つ英単語で、ネットワークにつながっている端末です。
EPPは「マルウェアによる攻撃を水際で防ぐ」ことが目的なのに対し、EDRは「エンドポイントで脅威を検知(Detection)して、対応(Response)を支援する」ことを目的としています。
そのため、エンドポイントにおける脅威の動きを包括的に可視化し、ハッキング活動の検知・観察や記録、攻撃遮断などの応急措置といった機能があります。
しかし、EDRにも課題があります。
それは検知した脅威情報をどう管理し、どう対処していくかなど運用負担が大きいということです。
■ 課題点
世の中に存在する多くのEDRは、単に導入するだけでは脅威検知の部分しか実現できず、発生したインシデントへの対応や脅威ハンティングの部分は、人手に頼らざるを得ないのが実情です。そもそもEDRの運用では脅威情報に関する大量のアラートが通知されるため、その対処だけでもままならないという状況があります。
そうした中で、従来のEDRの課題を解消するべく同ソリューションをさらに進化させたコンセプトが「XDR(eXtended Detection & Response)」です。
・EDRとXDRの違い
EDRとXDRの違いを考えるうえでは、主に以下の4つのポイントが重要になってきます。
(1)高速で拡張性のあるイベント分析エンジンを備えること
(2)AIエンジンのアシストによる相関分析の高度化が可能なこと
(3)カスタム検知・対応ルールの作成と展開が可能なこと
(4)対応を自動化できること
(5)追加で必要なセキュリティソリューションとの容易な連携が可能なこと。
XDRは「攻撃者のTTPsを検知し、素早く封じ込めること」です、いかに攻撃者の戦略・技術・手順を検知できるかがカギとなります。
※ TTPs サイバー攻撃の「Tactics(戦術)、Techniques(技術)、Procedures(手順)」の略語です。
(感想)
えっとなぜ、XDRのことを書いたというと、クラウドストライク、生成AI活用機能やXDR機能を提供する次世代型「CrowdStrike Falconプラットフォーム」を発表したっていうのを読んでいてEDR、NDR、EPP、とかは知っていたんですがXDRが、なんなのか勉強したくてブログに書きました。
マルウェアとかセキュリティ対策、この辺の知識になればいいかなと思います。