防御と運用
NDR(ネットワーク検知・対応)
別称: ネットワークトラフィック解析, NTA
定義
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。
Network Detection and Response(NDR)は、コア、ペリメータ、クラウド VPC、セグメント間の東西通信といったネットワーク上の戦略的ポイントにセンサーを設置し、パケット、フローレコード(NetFlow、IPFIX、Zeek ログ)、復号トラフィックを解析します。ホスト・ユーザー・プロトコル単位の振る舞いベースラインを構築し、機械学習、シグネチャ、脅威インテリジェンスとの突合によって、エンドポイントでは見えにくい C2、横展開、データ持ち出し、異常なプロトコル利用などを検出します。EDR/XDR、SIEM、SOAR との密な連携により、TAP 経由のブロック、ACL 変更、ホスト隔離などの自動応答も可能です。代表的なベンダーに Vectra AI、Darktrace、ExtraHop、Corelight などがあります。
例
- Vectra AI が、内部ホストから低評価ドメインへの HTTPS ビーコン通信を検知する。
- Zeek ベースの NDR が、2 つのデスクトップサブネット間の RDP 横展開を検知してアラートを発する。
関連用語
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
XDR(拡張検知・対応)
エンドポイント、ネットワーク、ID、メール、クラウドのテレメトリを統合し、複数レイヤを横断する相関検知と一元的なレスポンスを提供するセキュリティプラットフォーム。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
Threat Hunting
Threat Hunting — definition coming soon.