ネットワーク検出および応答(NDR)に関するQ&A


NDRとは何ですか?
今日のネットワーク検出と応答(NDR)には長い歴史があり、ネットワークセキュリティとネットワークトラフィック分析(NTA)から発展しています。 ネットワークセキュリティの歴史的な定義は、境界ファイアウォールと侵入防止システムを使用してネットワークに着信するトラフィックをスクリーニングすることでしたが、ITとセキュリティ技術が進化するにつれて、より複雑なアプローチを利用する最新の攻撃により、定義ははるかに広くなりました。

今日、ネットワークセキュリティは、企業がネットワークとそれに接続されているすべてのセキュリティを確保するために行うすべてのことです。 これには、ネットワーク、クラウド(または複数のクラウド)、エンドポイント、サーバー、IoT、ユーザー、およびアプリケーションが含まれます。 ネットワークセキュリティ製品は、物理的および仮想的な予防策を使用して、ネットワークとその資産を不正アクセス、変更、破壊、誤用から保護しようとしています。

NDRが重要なのはなぜですか?
ネットワークはITインフラストラクチャのバックボーンであり、すべてのユーザーとデバイスがネットワークに接続されているため、NDRは重要です。意味のある方法でトラフィックを確認できれば、信頼できる唯一の情報源になります。 エンドポイント、サーバー、アプリケーション、インターネットを含むすべてのシステムからのトラフィックはネットワークを通過する必要があるため、ネットワークはセキュリティエクスプロイトに関する真の情報の論理的なソースであり、NDRはその情報をキャプチャするツールです。

エンドポイント、電子メールなどのアプリケーション、サーバーをカバーするセキュリティツールはたくさんありますが、これらのツールからのデータとログを分析するだけでは、今日の攻撃を阻止するのに十分ではありません。 ネットワークについて知っておくべき重要なことが1つあるとすれば、それは嘘ではないということです。 そのため、NDRは、エンドポイントデータのEndpoint Detection and Response(EDR)およびセキュリティツールログのSIEMとともに、Everything Detection and ResponseXDR)への組織の旅を完了します。 具体的には、NDRは、エンドポイントやその他のログには表示されないもの(ネットワーク全体、デバイス、SaaSアプリケーション、ユーザーの動作)を確認し、真のデータセットとして機能し、リアルタイムの応答を可能にします。

NDRはどのように機能しますか?
NDRソリューションは、未知の攻撃に対して非署名ベースの手法(機械学習やその他の分析手法など)を使用し、既知の攻撃に対して高品質の署名ベースの手法(たとえば、アラート用にインラインで脅威インテリジェンスを融合)を使用して、疑わしいトラフィックやアクティビティを検出します 。 NDRは、センサーやその他のネットワークテレメトリの戦略的な配置を前提として、専用センサー、既存のファイアウォール、IPS / IDS、NetFlowからのメタデータ、またはその他のネットワークデータソースからデータを取り込むことができます。 北/南のトラフィックと東/西のトラフィックの両方、および物理環境と仮想環境の両方のトラフィックを監視する必要があります。 すべてのデータは中央のデータレイクに収集および集約され、脅威インテリジェンス、ホスト名、ユーザー情報などのコンテキストで強化され、高度なAIエンジンによって処理されて、疑わしいトラフィックパターンを検出し、アラートを生成します。

アラートがトリガーされたら、アナリストまたはNDRソリューションが応答する必要があります。 応答は検出の重要な対応物であり、NDRの基本です。 ファイアウォールにコマンドを送信して疑わしいトラフィックをドロップしたり、EDRツールに送信して影響を受けたエンドポイントを隔離したりするなどの自動応答や、脅威ハンティングやインシデント調査ツールの提供などの手動応答は、NDRの一般的な要素です。

NDRを他のセキュリティツールとどのように統合しますか?
NDRツールは、NDRベンダーが提供するアプリケーションプログラミングインターフェース(API)を介して他のセキュリティツールと統合されます。 もちろん、Stellar CyberのOpen XDRプラットフォームを使用している場合、NDRは、次世代のSIEMおよび脅威インテリジェンスとともにすでに統合されています。

NDRバイヤーズガイドをダウンロードする>