APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

ネットワーク脅威を検知するXDR

はじめに

初めまして。2024年度に新卒入社した西城です。

先日、ネットワーク技術に関するイベントであるInterop Tokyo 2024に参加してきました。
今回はそのInterop内の様々なブースで展示を行っていたXDRに興味を持ったので話していきたいと思います。
www.interop.jp

XDRを説明する前に

XDRは様々な企業が製品を展開していて、製品によって持っている機能が異なるため以下で説明する機能をすべてのXDR製品が持つとは限りません。

XDR(Extended Detection and Response)とは

様々なデバイスからテレメトリを収集し、収集したテレメトリから脅威を検出。検出した脅威への自動対応などの機能を持つソリューションです。
EDR、Eメール、ネットワークトラフィックなどの複数のレイヤの情報を一元管理し、脅威や異常の検出を自動化することが可能になります。
XDRに似た製品であるEDRとの相違点は、EDRはエンドポイントを監視するのに対して、XDRではEDRが収集した情報も含めた広範囲を監視する点です。

XDRの利点

様々な機能を持つXDRですが今回は私が特に重要だと感じた利点を3つお話します。

  • アラートの一元化

XDRでは様々なセキュリティ製品からセキュリティに関するテレメトリを収集しているため、アラートを一元管理することができます。
一元管理したテレメトリはAIにより分析されデータの関連付けとアラートの優先順位付けを行います。
これにより、セキュリティ製品から出るアラートの中で迅速な対応が必要なものか、そうでないかを判別することが容易になります。
また、アラートを一元管理するため、その対応方法もXDRで一元化が可能になります。

  • サイバー攻撃手法の分析

複数のレイヤから取得したテレメトリを情報に攻撃に使われている技術や手順の調査を行い。ネットワークに対してどのような影響があるのかを特定し可視化することができます。

  • 脅威への自動対応

XDRでは事前に定義したテンプレートやAIによって脅威を自動で封じ込める機能があります。
テンプレートでは、対応内容をスクリプト化しておくことで、インシデントが発生した際に行う処理を自動化することができます。

感想

XDRの導入によりネットワークの脅威を迅速に検知することができたり、サイバー攻撃がネットワークのどこまで影響を及ぼすのかといった情報を可視化できる点が魅力だと感じました。
今回、ブログを書くためにInteropで得た情報の他にも自身で調べることで、知らなかったことを知ることができたので、今後もブログなどで発信していきたいと思います。