防御と運用
MDR(マネージド検知・対応)
別称: マネージド SOC
定義
外部プロバイダーが EDR/XDR や SIEM のテレメトリを用いて、顧客に代わって検知・脅威ハンティング・インシデント対応を運用するマネージドサービス。
Managed Detection and Response(MDR)は、24 時間 365 日体制の SOC プロバイダーが提供するサブスクリプション型サービスで、EDR・XDR・SIEM・NDR などの技術と、人間のアナリスト・スレットハンター・IR 担当者を組み合わせます。顧客はテレメトリをプロバイダーに連携し、プロバイダーはアラートのトリアージ、インシデント認定、ホスト隔離やアカウント無効化などの封じ込め、定義された SLA に基づく対応調整までを担います。MDR は自前 SOC を持たない組織やフォロー・ザ・サン体制が必要な組織に適しており、ガバナンス、リスク受容、復旧の責任は顧客側に残ります。代表的なプロバイダーに CrowdStrike Falcon Complete、Sophos MDR、Arctic Wolf、Red Canary などがあります。
例
- Cobalt Strike のビーコン検知から 20 分以内に、MDR プロバイダーが侵害された PC を隔離し認証情報をリセットする。
- 中堅小売業者が EDR アラートの 24 時間 365 日監視を Sophos MDR に外部委託し、自社 IT チームが復旧を担当する。
関連用語
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
XDR(拡張検知・対応)
エンドポイント、ネットワーク、ID、メール、クラウドのテレメトリを統合し、複数レイヤを横断する相関検知と一元的なレスポンスを提供するセキュリティプラットフォーム。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
Threat Hunting
Threat Hunting — definition coming soon.