Blog

Universal (ユニバーサル) EDRへの技術的アプローチ

セキュリティベンダー、特にXDR市場のベンダーには、ビルドと統合のアーキテクチャ軸があります。 一方には、「すべてを構築/取得」があります。これは、垂直統合されており、企業のセキュリティスタック全体になりたいベンダーです。 一方、「すべてと統合する」(より大きなアーキテクチャに統合することを目的とした単一のコンポーネントまたはAPIを構築するベンダー)があります。 どちらのアプローチにも長所と短所があります。 「すべてを構築/取得」キャンプでは、すべてのコンポーネントを緊密に結び付けて、まとまりのあるセキュリティエクスペリエンスを作成できますが、集中することを犠牲にして、最善の方法ではない可能性があります。 「すべてと統合する」キャンプは、その余裕のある焦点を重視し、最小限の範囲で素晴らしい製品を構築できますが、特定の購入者がそれらをより広範なセキュリティポートフォリオに階層化する必要があります。

Stellar Cyberでは、このアーキテクチャ軸の中間に位置するというアプローチを採用しています。これは、組み込み機能(特に、NDRSIEMTIPXDR AIエンジン)と統合する機能のバランスです。 統合する最も重要な製品クラスの1つはEDRです。 最近、業界初のUniversal EDRを発表しました。これは、EDRまたはEDRをプラットフォームに導入する機能であり、サポートするだけでなく、EDRの選択に関係なく、忠実度のレベルを確保しながら、それらを改善します。 つまり、ユーザーは組み込みのアプローチを最大限に活用して統合することができます。統合される製品が非常に緊密に統合されているため、プラットフォームのネイティブ部分であるかのように動作するUniversal EDR統合が提供されます。 プラットフォームは開いたままです。

この機能を開発するときに遭遇した最大の技術的課題の1つは、EDRベンダーに関係なく、忠実度の高いアラートを一貫して生成する方法でした。 技術的なアプローチを「アラートパスウェイ」、またはソースEDRデータからStellar Cyberの忠実度の高いアラートに移行するために必要な処理技術として説明します。 EDRはそれぞれ異なります。これが、各EDRを効果的に処理するためのフレームワークを開発する必要があるための基礎でした。

以下で説明するフレームワークとアラートパスウェイは、Stellar Cyber Open XDRプラットフォームですぐに利用できるバックエンド機能です。

 

●アラートパスウェイ1:「パススルーエンリッチメント」

The “Passthrough Enrichment” technique takes alerts from source EDR systems, then enriches those alerts with additional threat intelligence and aligns them to MITRE ATT&CK. In a sense this is like adding some additional context after re-reporting the news, but can be highly effective if some particular alerts in the source EDR are of the highest fidelity. However, in our research, this approach is at best only partially applicable for any given EDR.

「パススルーエンリッチメント」手法は、ソースEDRシステムからアラートを取得し、それらのアラートを追加の脅威インテリジェンスでエンリッチメントして、MITRE ATT&CKに合わせます。 ある意味では、これはニュースを再報告した後にコンテキストを追加するようなものですが、ソースEDRの特定のアラートが最も忠実である場合に非常に効果的です。 ただし、私たちの調査では、このアプローチはせいぜい特定のEDRに部分的にしか適用できません。

 

●アラートパスウェイ2:「重複排除」

「重複排除」手法は、機械学習を適用して、重複し、同じアクティビティの一部である可能性が高いソースEDRアラートを識別し、Stellar Cyber内で単一のアラートを生成して、自動化とアナリストのパフォーマンスを向上させます。

 

アラートパスウェイ3:「機械学習イベントベース」

「機械学習イベントベース」の手法は、すべてのソースEDRイベントとアラートが、Stellar Cyber内で新しい新しいアラートを生成するさまざまなMLアラートモデルを介して処理されるため、技術的に最も困難です。 これには、EDRベンダー間で成功するために、重要なデータ調査と堅牢な正規化プロセスが必要です。

 

Universal EDRへのアプローチ

このフレームワークを設計するための指針となる原則は、エンドユーザーのセキュリティ結果です。 同じEDRはないため、これは、さまざまなEDR製品のアラートとイベントのさまざまなサブセットにさまざまなアラートパスウェイを適用することを意味します。 たとえば、EDR 1には10%のパススルー、50%の重複排除、40%の機械学習イベントベースがありますが、EDR 2の場合、これらの比率はそれぞれ0%、80%、20%になります。

社内EDRを構築していない企業にとって、エンドポイントベースのセキュリティ研究の最先端にいることに気づきます。 これはフロンティア自体にとって内部的にエキサイティングですが、最も重要なのは、それがお客様にとって何を意味するかということです。 やるべきことはまだまだたくさんあります。