Stellar Cyber Open XDRの各機能

Stellar Cyberが搭載する機能（データ収集~脅威の検知~相関分析）

Stellar Cyber各センサーが収集したデータや分析対象からの取り込みデータを元に脅威検知を行います 。データソースから各種データを取り込みます。取り込まれたデータはデータフォーマットを一定の形式に整形する標準化作業をおこないます。データを標準化したうえで分析環境に取り込みます。データを取り込む領域をデータレイクと呼びます。データレイクの分析はデータプロセッサがおこないます。データプロセッサで相関分析・脅威ハンティングをおこない、アラート生成には機械学習とルールベースを含みます。Stellar Cyberからの検知提案だけでなく、自社ルールを反映する検知アラートも実現できます。最終的に相関分析されたインシデントは、ダッシュボードのインシデント一覧画面に分かりやすく表示されます。

• Stellar Cyberが搭載する機能
• データソース + データ収集
• 脅威の検知
• 相関分析
• 自動応答 + 対応

短時間で開始可能なデータの収集

Stellar Cyberデータプロセッサー(DP)は、社内各所に設置したStellar Cyberモジュラーセンサー(MS) からの分析データを用い、セキュリティ相関関係を高速に分析します。セキュリティ分析に複雑なプログラミング・閾値設定は不要です。 クラウドサービスのEDRやSaaSからはStellar Cyberクラウドコネクター(CC)からもリアルタイムに届けられます。これにより膨大なデータを短時間で収集することが可能になります。

収集データを最適化するStellar CyberのInter Flow技術

Stellar Cyberが開発したInter Flow技術によって、収集した各データは重複排除・最適化・標準化され、さらに脅威情報や地理情報( Geo Location )などが追加され、JSONフォーマットでデータプロセッサー内のデータレイクへ保存されます。データ量の削減と共に、インデックス化されたデータをもとに高速に検索することが可能になります。

Stellar Cyberが標準で搭載する検知機能

Stellar Cyber Open XDRは、連携する他社セキュリティ製品やログ / イベントデータだけでなく、独自の脅威検知機能も搭載し検知能力を向上させています。

Stellar Cyber XDRキルチェーン

• Stellar Cyberが定義したMITRE ATT&CKと完全互換のキルチェーン
• 脅威の状況を直感的に把握可能
• クリックすることで対象アラートを表示
• MITRE ATT&CK 戦術単位でのアラート表示も可能

脅威の検知: アラートトップ

検知した脅威はアラート画面へ反映され一覧表示されます。フィルタや検索機能による絞り込みや、各アラートの詳細へ移動することができます。

脅威の検知: アラートの詳細

個々の脅威に対してアラートの詳細を確認することができます。アラートに対する担当者のアサインやクローズ処理を行うこともできます。

脅威の検知: さまざまな検知

XDR連携している他社製品だけでなく、Stellar Cyber Open XDR標準の検知機能と併用することで、より脅威の検知能力を向上させることができます。

• マルウェアの検知
• 不審なPowerShellコマンド
• ブルートフォース~ログイン成功
• 不審なアプリケーションの検知
• C2サーバへの接続検知

脅威の検知: ファイルのモニター ( FIM : File Integrity Monitoring )

FIMを使用することで、ファイルやフォルダ内のファイルに対する変更・作成・削除をモニターし、ランサムウェアによる攻撃を検知することができます。

エンドポイントを経由しない脅威

リモートアクセス機器の脆弱性や設定の不備などを悪用した「エンドポイントを経由しない攻撃」に対しての対策が重要視されてきています。

XDRには相関分析が重要

多くの製品と連携するXDR製品では「相関分析」が必須になるだけでなく、AI エンジンによる高速で確実な処理も重要になってきます。

相関分析による脅威やイベントの正確な検知・分類 : ケース トップ

Stellar Cyber Open XDRは、連携機器イベントやユーザー情報など、幅広い範囲にわたって相関分析機能を提供し、脅威への対処時間を短縮化します。

相関分析による脅威やイベントの正確な検知・分類 : ケースの詳細

ケースのトップ画面より調査対象のケースを選択することで、相関分析されたアラートの一覧が表示されます。

相関分析による脅威やイベントの正確な検知・分類 : ケースの解析

相関分析によって生成された可視化画面を用いることで攻撃の経路や攻撃の流れを可視化することができ、脅威の状況を短時間で把握することができます。

相関分析による脅威やイベントの正確な検知・分類 : 相関関係を手動で定義し検索

手動で複数の条件を定義し、その相関関係をもとに結果を表示させることもできます。

相関分析による脅威やイベントの正確な検知・分類 : 脅威ハンティング機能

脅威ハンティング画面では簡単な操作で様々な条件を指定することができ、脅威やイベントを短時間で抽出・表示することができます。

相関分析による脅威やイベントの正確な検知・分類 : 脅威ハンティングライブラリ

脅威ハンティングライブラリ機能により、プリセットされたテンプレートから対象の脅威やイベントを表示することができます。

XDR連携先に対する自動応答

XDR連携した機器やサービスに対して、事前定義した内容で自動応答の実行や手動での対応を行うことができるため、脅威の拡大を防止することができます。

自動応答の例

侵入した脅威が偵察活動のためにエンドポイントからPowerShellを用いてAD管理者情報をサーチ。ADサーバ側の返答をカスタムアラートとして応答設定。

レポート

各コンプライアンスに準拠したレポートテンプレートを含め、カスタムレポートの作成やスケジュールレポート設定を行うことができます。

検出したノード単位でのリスクやその傾向を表示することができます。各ノード別に発生したアラートを表示することもできます。