Stellar Cyber Open XDRとは
XDRとは
XDR(Extended Detection and
Response)は、エンドポイント・ネットワーク・クラウド・メールといった複数のセキュリティレイヤーからのログ・イベントを統合的に収集・相関分析し、横断的な脅威検知・調査・対応を実現する統合型セキュリティプラットフォームです。
従来のEDR(Endpoint Detection and Response)がエンドポイント内の脅威検知とインシデント対応に特化していたのに対し、XDRはエンドポイントだけに留まらず、ネットワーク通信ログ、クラウドアクティビティ、メールゲートウェイログなども統合し、サイロ化した個別ログからは見えにくい攻撃の全体像を可視化します。
XDRの特徴は、以下の3点に集約されます:
- 多層防御を超えたクロスレイヤー相関分析
- 検知からレスポンスまでの一元化・自動化
- ご利用のセキュリティ環境に柔軟に対応できる(オープンXDR)
- 社内端末・ネットワーク・データセンターなど、イントラ拠点のトラフィックを分析の対象とするために独自アプライアンスを設置。それにより、安全にデータを分析環境に送り、社内システム全体を把握できる。
- 分析の手法にAI機械学習を活用して、膨大な過去の侵害記録と比較した分析ができる。
- 現在のインシデント内容から将来の侵害予測を高い精度で行うことができる。
ファイアウォール、プロキシ、メールセキュリティ、EPP/EDR、CASB、クラウドワークロードセキュリティといった異なるセキュリティコントロールから収集したイベントを、単一基盤上で横断的に相関分析します。 MITRE ATT&CKフレームワークなどを参照し、多段階攻撃(Lateral MovementやLiving off the Land攻撃など)の一連の攻撃チェーンを可視化します。
検知した脅威は、関連イベントを自動的にグルーピングしてインシデント単位で管理。影響範囲や侵害経路の特定をタイムライン表示で支援し、必要に応じてエンドポイント隔離、IOC封鎖、メール削除などの対処アクションを自動またはワンクリックで実施できます。 SIEMやSOARと統合することで、SOC運用全体の高度化にも寄与します。
特定ベンダーの製品群を前提としたXDR(ネイティブXDR)がある一方で、マルチベンダー環境を想定したXDRも存在します。このようなXDRはオープンXDRと呼ばれています。オープンXDRは、既存のあらゆるセキュリティツールからデータを収集・分析して、企業に対する攻撃を全面的に保護します。
Stellar Cyber Open XDRとは
Steller Cyber Open
XDRは、無線エンドポイント・ネットワーク・クラウド・アプリケーションなどの全体を分析・可視化し、外部脅威の検知と対処を行うソリューションサービスです。3点の特徴があります。
Stellar Cyber Open XDRの概要
Stellar Cyber Open XDRプラットフォーム
Stellar Cyber XDRプラットフォームは多くの機能モジュールを包容するサービスです。
- Stellar Cyber Open XDR プラットフォーム
- (a)NDR
- (b)TIP
- (c)SOAR
- (d)IDS
- (e)FIM
- (f)サンドボックス
- (g)ふるまい検知
- 検知・相関分析エンジン
- セキュリティデータ管理・データレイク(NG-SIEM)
Stellar Cyber Open XDRの分析対象
Stellar Cyberが分析できる対象は広範に及びます。
- (a) Stellar Cyber Network Sensor から取り込んだトラフィック
- (b) Stellar Cyber Security Sensor から取り込んだトラフィック
- (c) Virtual Network
- (d) Container
- (e) Log Forwaders
- (f) Server (Windows/ Linux)
- (g) IaaS (AWS/ Azure/ GCP)
- (h) SaaS (365/ Google/ okta/ onelogin/...)
- (i) Other
Stellar Cyber Open XDRと比較サービス
既存のSIEMやEDRベンダーが提供するXDR製品では制限事項が多く、運用負荷の上昇・脅威の検知漏れ・対応時間の大幅な遅延を招く可能性があります。
システム構成
エンドポイント・ネットワーク・クラウド・アプリケーションなどの全体から分析対象データを収集するためにアプライアンスを設置します。 Stellar Cyberアプライアンスには「Stellar Cyber Photon 400/ 250/ 160/ 160-5X」と4種のプラットフォームがあり、データトラフィックに応じて最適なサイズを選定します。
- Stellar Cyber モジュラーセンサー(MS)
- NTA ( ネットワークトラフィック解析 )機能
- DPI 機能によるアプリケーションの識別
- キャプチャーパケットをメタデータへ変換 ( 平均100分の1 )
- マルウェア検出機能 / サンドボックス機能 / IDS機能
- Syslog転送機能 ( 受信Syslogデータをデータプロセッサーに対して転送 )
- 内部の連携機器に対するコネクター機能
- Stellar Cyber クラウドコネクター(CC)
-
連携対象の機器やサービスに対する情報取得機能や応答機能 ( API )
( 脅威検知イベントの取得・ユーザーアカウントの無効化・通信遮断指示等 ) - Stellar Cyber サーバセンサー(SS)
- サーバ用 ( Windows・Linux ) センサー ( エージェント )
- イベント情報 / プロセス情報 / システム情報等の取得
Stellar Cyberデータプロセッサは「Stellar Cyber AWS/ Azure/ GCP/ Oracle(SaaS)」と4種のプラットフォームがあり、自社のデータレイクとして最適な環境用のモジュールで自社環境に設置します。自社環境データプロセッサーは大きなデータサイズの分析を行いますので、必要なIaaS環境を自社でご用意いただきます。OracleプラットフォームについてはSteller CyberがSaaSサービスとして提供します。このOracleプラットフォームの場合は別途ライセンスが必要となります。
Stellar Cyber データプロセッサー(DP)
- ユーザーインターフェイス ( Web ) を提供
- 各センサーからのデータ受信
- データレイク機能 / データ解析機能 / 機械学習機能
- クラウドサービスやSaaSアプリケーションに対するコネクター機能
- 外部のSIEMに対するデータ送信機能
ネットワーク構成の例
Stellar Cyberが搭載する機能(データ収集~脅威の検知~相関分析)
Stellar Cyber各センサーが収集したデータや分析対象からの取り込みデータを元に脅威検知を行います 。データソースから各種データを取り込みます。取り込まれたデータはデータフォーマットを一定の形式に整形する標準化作業をおこないます。データを標準化したうえで分析環境に取り込みます。データを取り込む領域をデータレイクと呼びます。データレイクの分析はデータプロセッサがおこないます。データプロセッサで相関分析・脅威ハンティングをおこない、アラート生成には機械学習とルールベースを含みます。Steller Cyberからの検知提案だけでなく、自社ルールを反映する検知アラートも実現できます。最終的に相関分析されたインシデントは、ダッシュボードにインシデント一覧画面に分かりやすく表示します。
- Stellar Cyberが搭載する機能
