Cybersecurity 保護は、組織のインフラストラクチャ全体のセンサーとシステムからのデータに基づいて行われます。しかし、背景やコンテキストのないデータは、アナリストを苛立たせ、気を散らす無関係なノイズを生み出すだけです。すべてのデータを相関させる統合プラットフォームがなければ、セキュリティ チームは膨大な量の誤ったアラートに埋もれてしまいます。
XDR は、軽量データレイクに保存された正規化されたデータセットを相関させて評価する複数のセキュリティエンジンを組み込むように特別に設計されています。多くのセキュリティエンジンが動作しているため( 脅威情報, ユーザー行動分析、IDS、ファイル サンドボックス、機械学習ベースの異常検出などの高度なセキュリティ機能により、すべてのテレメトリを相関させることが可能になります。さらに、システム、資産、アカウントに関する既知の情報をすべて考慮することで、潜在的なインシデントを数秒以内に正確にスコア付けできます。
XDR 実装の課題
CyFlareでの経験から、 XDR 例えば、ネットワーク/システム管理/ITチームなどの関係者が移行について知らされていないケースもあります。 XDRあるいは、新しい戦略を受け入れていない。もう一つの問題は、システムとデータソースが適切にインベントリ化されておらず、データソースの選定やAPI統合を活用すべきか判断するための処理が不十分なことである。 XDR より多くのデータを求める、あるいは政策変更を行うといった、様々な課題がある。3つ目の課題は、 SOC、IT 管理、ネットワーク管理、リーダーシップの各チームが集まり、傾向や継続的な改善活動について話し合います。
実装に関する推奨事項
以下に、準備のために実行できるいくつかのアクションを示します。 XDR 実装して物事がスムーズに進むようにします。
- 組織が少なくとも情報セキュリティ ポリシーを作成し、中核となる要件と決定事項を特定していることを確認します。
- 主要関係者と早期かつ頻繁にコミュニケーションをとり、 XDR すべての部門とユーザーにどのような影響を与えるかを明確にします。これにより、関係者は XDR 戦略を立て、相互に賛同し合います。
- 組織の SaaS アプリ、ネットワーク デバイス、セキュリティ ツール、カスタム アプリケーションなど、すべての潜在的なデータ ソースをインベントリします。
- 選ぶ XDR すべてまたはほとんどのデータソースと本質的に統合できるプロバイダーであり、重要なデータがシステム内で取得および正規化されることを保証します。 XDR プラットフォームを提供します。
- 提供される各統合(コネクタ)に対してどのような対応アクションが可能かを特定します。 XDR プラットフォーム。これにより、特定された脅威の封じ込めと根絶を迅速に進めるためにどのようなプレイブックを構築できるかを判断するのに役立ちます。
- 潜在的な自動応答アクションについてビジネス関係者と話し合います。適切なコミュニケーションと計画がなければ、ビジネスに重大な混乱が生じる可能性があります。十分に考え抜かれたプレイブックは、応答アクションを活用するための不可欠な要素です。
スタッフ配置要件
上記の推奨事項を実行するために、適切な人員配置も確保する必要があります。CISOまたは仮想CISOをスタッフに配置させる必要があります。 XDR これは、セキュリティを最優先し、ビジネスの中核に据えているセキュリティ戦略重視の組織を対象としており、CISOが全体的な戦略を指揮します。次に、情報源や検知の潜在的なユースケースを特定し、関連するプレイブックを調整するセキュリティアーキテクトが必要です。最後に、社内にセキュリティ専門家が必要です。 SOC リーダーシップ、エスカレーション ツール、24 時間 7 日の Tier 1 サポートなどの関連リソースを用意するか、アウトソーシングされた MSSP を導入する必要があります。
私たちの経験では、 Open XDR 既存のセキュリティツールを統合しつつ、独自のネイティブ機能も提供するプラットフォームこそが、包括的なセキュリティの可視性と保護を実現する最良の方法です。Stellar Cyberのようなプラットフォームを活用することで、セキュリティインシデントへの対応に必要なインフラ全体の可視性とコンテキストを構築し、数日や数週間ではなく、数秒や数分で対応できるようになりました。
