防御と運用
XDR(拡張検知・対応)
定義
エンドポイント、ネットワーク、ID、メール、クラウドのテレメトリを統合し、複数レイヤを横断する相関検知と一元的なレスポンスを提供するセキュリティプラットフォーム。
Extended Detection and Response(XDR)は、EDR モデルをエンドポイントの枠を越えて拡張し、エンドポイント、ネットワーク、ID プロバイダ、クラウドワークロード、メール、SaaS など複数のセキュリティ層からデータを取り込み相関分析します。統合検知エンジンが各ベクトル間の指標を結びつけ、個別アラートではなく「インシデント」として可視化し、単一のレスポンス画面からホスト隔離、トークン失効、宛先ブロックといった対応を実行できます。XDR には Microsoft Defender XDR、Palo Alto Cortex XDR、SentinelOne Singularity などのベンダーネイティブ型と、オープン型・ハイブリッド型があり、アラート疲労の軽減、MTTR の短縮、EDR・NDR・メールセキュリティ製品の統合負荷低減を目的としています。
例
- Microsoft Defender XDR が Office 365 のフィッシングクリックと同じユーザーのノート PC 上の EDR アラートを相関させる。
- Cortex XDR がエンドポイント上の悪意ある PowerShell とネットワークセンサーが捉えた横展開 SMB トラフィックを結びつける。
関連用語
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
NDR(ネットワーク検知・対応)
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
MDR(マネージド検知・対応)
外部プロバイダーが EDR/XDR や SIEM のテレメトリを用いて、顧客に代わって検知・脅威ハンティング・インシデント対応を運用するマネージドサービス。
セキュリティオペレーションセンター(SOC)
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。