XDRの実装を成功させる秘訣

サイバーセキュリティ保護は、組織のインフラストラクチャ全体のセンサーとシステムからのデータに基づいています。 しかし、背景やコンテキストのないデータは、アナリストを苛立たせ、気を散らす無関係なノイズを生み出すだけです。 すべてのデータを相互に関連付ける統合プラットフォームがないと、セキュリティチームは圧倒的な量の誤ったアラートに埋もれてしまいます。

XDRは、軽量のデータレイクに保存されている正規化されたデータセットを相互に関連付けて評価する複数のセキュリティエンジンを組み込むように特別に設計されています。 多くのセキュリティエンジン（脅威インテリジェンス、ユーザー行動分析、IDS、ファイルサンドボックス、機械学習ベースの異常検出など）が機能しているため、すべてのテレメトリを相互に関連付けることが可能になります。 さらに、システム、資産、またはアカウントについて知られているすべてのことを考慮することにより、数秒以内に潜在的なインシデントを正確にスコアリングできます。

XDR実装の課題

CyFlareでの経験から、XDRシステムの実装にはいくつかの課題があります。 たとえば、場合によっては、ネットワーク/システム管理/ ITチームなどの関連する利害関係者は、XDRへの移行を認識していないか、新しい戦略に賛成していません。 もう1つの問題は、システムとデータソースが適切にインベントリおよび処理されていないため、データをソースする必要があるか、API統合を利用して、XDRシステムによる潜在的な応答アクション（データのクエリやポリシーの変更など）を行う必要があるかを判断できないことです。 3番目の課題は、SOC、IT管理、ネットワーク管理、およびリーダーシップチームの間で、傾向と継続的な改善アクションについて話し合うための定期的な会議がないことです。

実装の推奨事項

XDR実装の基盤を準備し、物事がスムーズに進むようにするために実行できるいくつかのアクションを次に示します。

1. 組織がコア要件と決定を特定するために、少なくとも情報セキュリティポリシーを作成していることを確認してください。
XDRの利点と、それがすべての部門とユーザーにどのように影響するかについて、主要な利害関係者と早期に、そして頻繁に連絡します。

2. このようにして、利害関係者はXDR戦略の利点を理解し、相互に賛同します。
組織のSaaSアプリ、ネットワークデバイス、セキュリティツール、カスタムアプリケーションなど、すべての潜在的なデータソースのインベントリを作成します。

3. すべてまたはほとんどのデータソースと本質的に統合できるXDRプロバイダーを選択して、重要なデータをXDRプラットフォーム内で確実にソースおよび正規化できるようにします。

4. XDRプラットフォームによって提供される各統合（コネクタ）で可能な応答アクションを特定します。これは、特定された脅威の封じ込めと根絶を促進するためにどのプレイブックを作成できるかを判断するのに役立ちます。

5. 潜在的な自動応答アクションについて、ビジネスの利害関係者と話し合います。適切なコミュニケーションと計画がなければ、ビジネスに重大な混乱を引き起こす可能性があります。よく考えられたプレイブックは、対応アクションを活用するために不可欠なコンポーネントです。

人員配置要件

また、上記の推奨事項を実装するための適切なスタッフがいることを確認する必要があります。スタッフにはCISOまたは仮想CISOが必要です。XDRは、セキュリティを優先し、ビジネスのコア部分にするセキュリティ戦略的組織を対象としています。CISOが全体的な戦略を指揮します。次に、ソース、検出の潜在的なユースケースを特定し、関連するプレイブックを調整するためのセキュリティアーキテクトが必要になります。最後に、リーダーシップ、エスカレーションツール、24時間年中無休のTier 1カバレッジなどの関連リソースを備えた社内SOCが必要になるか、外部委託のMSSPを導入する必要があります。

私たちの経験では、独自のネイティブ機能を提供しながら既存のセキュリティツールを統合するOpen XDRプラットフォームは、包括的なセキュリティの可視性と保護への最良の道です。 Stellar Cyber​​のようなプラットフォームを使用することで、セキュリティインシデントに数日または数週間ではなく数秒または数分で対応するために必要なインフラストラクチャ全体の可視性とコンテキストを作成することができました。