4階層の独自分析モデルで96%の無駄なログを排除
Cybereason XDRのシステム構成は極めてシンプルだ。Cybereason EDRがクラウド環境にある状態で各エージェントを端末に展開すれば、日々ログがアップデートされる。EDRと同じクラウド上にXDRも存在するため、XDRはエージェントなしでAPIもしくは転送などでログを集め、自動で分析する。XDRとEDRが共通の基盤上で動くため、管理コンソール一つで集中監視できることも特長だ。
Cybereason XDRにおける実際の分析モデルは4階層で構成されている。まずは日々データソースからリアルタイムでログが送られた結果、各ベンダー製品でアラートになっているもの、またEDRで検知したものをTier1として集約。そして、生のログではアラートになっていなかったとしても、サイバーセキュリティの観点、たとえば振る舞い検知のロジックや統計的な検知と照らし合わせて考えた場合にアラートにしたほうがいいものを判定し直し、Tier2に分類する。
Tier3には、Tier1とTier2で集約されたデータソースを相関分析したものを集約。さらにそれらを1つの攻撃ストーリーとしてTier4に集約し、アラートとして出し直す。この出し直されたアラートを「MalOp」と呼び、これによってエンドポイントを超えた攻撃の全体像をあぶり出すことができる。
これらは実際の画面でどう可視化されるのか。XDRのダッシュボードでは、画面でログの収集状況やインテグレーションの状況、アラートの発報状況などを確認できる。たとえば、1週間に200万件のログがあり、そこからTier2で2,000件のアラートが出たとする。それを人が判断することはほぼ不可能だろう。ここにXDRを用いると、Tier3でログを相関解析し、Tier4まで絞り込んだ結果は86件となる。これら一連の絞り込みをすべて自動で行えるのだ。結果的に、この例ではログの4%のみが対処の対象となり、極めて効率的な検知方法といえる。
不審なイベント一つひとつを見ることなく、攻撃として成立している場合は時系列にアラートを並べ、何が起きているかについてログを見ながら分析することもできる。
さらに、単に問題を検知するだけでなく、その対処もリモートで可能だ。具体的には、パスワードのリセットやアクティブな通信の遮断、アカウントの停止、IPベースでの認証ブロックなどが実行でき、現在順次データソースの対応を進めているという。
同社では、このようなイベント検知などの対応を、24時間365日体制で行うSOCサービス「Managed XDR」をセットで提供している。アラート通知があった場合には、緊急度に応じユーザーにメールで通知。緊急度が高い場合は電話でも対応する。その上でどのような攻撃が発生しているか、どこまで進行したか、推奨の対処はどのようなものかなどを報告する。場合によっては、一部対処も実施する。
昨今のサイバー攻撃者は守る側と同様にAIを利用することで、攻撃自体をより活発化させ、その手法も巧妙化されることが懸念される。そのような状況下でサイバー攻撃から組織を守るためには、ネットワークやメールセキュリティ、端末のセキュリティを個々に強化するような方法では守り切れないと青木氏。
「複数のセキュリティ製品が必要であり、それらを個別に監視するのではなく、XDRやSIEMのような製品で様々なデータソースからきちんとアラートを集約し、1ヵ所で集中監視する。その上で攻撃の全体像を可視化することで、いち早く攻撃を発見して対処を行うことが極めて重要です」とあらためて強調し、セッションを締めくくった。
