ミッドマーケットのITチームにとって、エンドポイントの保護はモグラ叩きのように感じられることがあります。ユーザーあたりのデバイスが増え、ツールが増え、アラートも増えるからです。これらはそれぞれ複雑さを増しますが、すべてを効果的に管理するための人手は限られています。
企業は平均して10種類の固有のエンドポイント管理・セキュリティツールを使い分けており、機能が重複していることも多く、冗長なアラートやサイロ化した対応ワークフローを生み出しています。これは、スリムなセキュリティチームにとって深刻な負担です――大企業と同じ脅威に直面しているにもかかわらず。
XDRによるセキュリティデータの統合
課題は現実のものですが、幸いにも乗り越えられないわけではありません。拡張検知・対応(XDR)は、テックスタック全体にわたる包括的な可視性をもたらすことで、この問題に取り組みます。
XDRの目的はシンプルです。ツールの乱立を減らし、可視性を一元化すること。複数ツールのログを手作業で分析する代わりに、チームは単一のコンソール、単一の信頼できる情報源、そして自社のセキュリティ態勢をより明確に把握できる視界を得られます。ソース間のテレメトリを相関させることで、アナリストは、複数のポイントツールを追いかけ、無数のイベントログを手作業で読み解こうとしていると見落としかねない文脈を得られます。
とはいえ、他のプラットフォーム型セキュリティアプローチと同様に、テックスタック全体にXDRを完全統合するのは、1日でできるものではなく旅路です。だからこそ、最も重要なデータの統合から始めることが重要です。
Palo Alto NetworksのR Greenwoodは次のように述べています。「理想的には、すべてのデータソースを統合したいところですが、優先順位を付けるなら、まずはエンドポイントです。すべてがエンドポイントに触れるからです。次に近いのがファイアウォールのデータで、そのすぐ後ろにアイデンティティデータが続きます。なぜなら、それによってユーザーに素早く簡単にひも付けられるからです。」
統合ビューを段階的に構築する
セキュリティデータソースの集約が第一歩だとすれば、次はその膨大な情報を理解することです。ここも、より高度なXDRソリューションが、先進的な分析とインシデントスコアリングを導入することで力を発揮する領域です。
アラート疲れの問題――そしてそれがもたらす多くの望ましくない結果――に真に対処するには、アナリストには意味のあるアラートも必要です。R Greenwoodは「Cortex XDRでは、アラートが入ってくると、それをケースに変換します。そして、そのケースがどれほど重大で、なぜ重要なのかを本当に理解できるように、スコアを提供します」と述べました。
目的は、ディープアナリティクスを用いてアラートを単一の「ケース」または「ストーリーライン」にグルーピングし、ノイズを減らすことです。XDRがない場合、手作業の分析では通常、マルウェアスキャナー、ファイアウォール、クラウドセキュリティツールなど、異なるソースからの複数の低レベルアラートを調査することになります。
しかし、アナリストは、すべてのアラートとそれに対応するイベントログを個別に調査していると圧倒されてしまうことがあります。一方で、XDRが潜在的な攻撃の全体像を提供してくれれば、インシデントの調査とトリアージははるかに迅速かつ容易になります。
より賢いセキュリティ管理を、よりシンプルに
XDRは、アナリストが心配しなければならない別のコンソールになるのではなく、ポイントツールを合理化するための中核です。既存のコントロールを共通のデータモデルにマッピングし、明確なオーナーシップと調査ワークフローを割り当てることで、XDRはすべてのセキュリティインシデントに関する包括的な記録システムになります。
まずはエンドポイントから始め、次にファイアウォールのトラフィックとアイデンティティを追加して、すべてのイベントが特定のユーザーとデバイスにひも付くようにします。そうすることで、機能しているものは維持し、重複作業を排除し、調査とレポートの一貫した方法を確立できます――アラート疲れを軽減し、セキュリティ態勢を改善しながら。
技術の乱立やアラート疲れに悩む組織にとって、Cortex XDRは、テックスタックを全面的に置き換えることなく、検知と対応を自動化し、エンドポイントセキュリティに対してより統合的なアプローチを採用するための手段を提供します。
翻訳元: https://www.cybersecuritydive.com/spons/from-tech-sprawl-to-clarity-with-xdr/808081/
