課題を解決

VMware Carbon Black XDR で実現するラテラルセキュリティ

2023/04/20

2023年3月15日より VMware Carbon Black Cloud の新機能として、VMware Carbon Black XDR の提供を開始しました。Carbon Black XDR の機能を有効化することで、これまでの EDR 機能に加え、ネットワークのアクティビティの収集及び脅威検知の機能、認証イベントの収集機能が追加されます。
これにより、社内でも社外でも、あらゆるネットワーク環境においても、場所を問わずエンドポイントレベルでのラテラルセキュリティの実現を強力に支援します。

本ページでは、Carbon Black XDRのマーケットでのポジショニングから製品概要を管理画面のイメージとともにお伝えしつつ、ユースケースやCarbon Black XDR のよくある質問の回答まで網羅的に掲載していきます。


目次


そもそも XDR(eXtended Detection and Response)って何!?

サイバー攻撃の全てを防御することが困難と言われるなか、ランサムウェアのようにビジネス活動の継続に深刻な影響を与える事例が急増し、企業運営の視点からのセキュリティ対策が求められています。

進化を続ける脅威に対抗するために、セキュリティ対策も次々に新たなものが登場しています。 近年、導入が加速しているエンドポイント対策の「EDR(Endpoint Detection and Response)」に続いて「XDR(eXtended Detection and Response)」というキーワードを見かける機会も増加しています。

Forrester社は、XDRを以下と定義しています。

“脅威の検知、調査、対応、ハンティングをリアルタイムで最適化するEDRの進化形。XDRは、セキュリティに関連するエンドポイントの検出を、NAV、メールセキュリティ、アイデンティティ・アクセス管理(IAM)、クラウドセキュリティなどのセキュリティおよびビジネスツールからのテレメトリと一体化させます。ビッグデータ基盤上に構築されたクラウドネイティブなプラットフォームであり、セキュリティチームに柔軟性、拡張性、および自動化の機会を提供します。”

出典:Introducing The Forrester New Tech: Extended Detection And Response (XDR) — A Battle Between Precedent And Innovation

XDR が必要となる背景

現在、多くのお客様が、サイバーセキュリティ運用において、異なるベンダーの多数のセキュリティツールを導入し、且つ統合が不十分であるため運用負荷に悩まされております。
事実、Ponemon 社の調査によると、ひとつの組織で利用されているセキュリティツール導入平均数は、47個にもなります。

出典:Ponemon Study: 53 Percent of IT Security Leaders Don’t Know if Cybersecurity Tools are Working Despite an Average of $18.4 Million Annual Spend

そのような課題に対して、XDRは、サーバ、メール、エンドポイント、ネットワークなど、さまざまなデータを収集・相関分析することにより、これまでよりも早く、効率的に脅威の優先順位付け、分析などを行うことを目的としており、今後の普及が期待されています。

XDRが解決する今日のセキュリティ運用における基本的な課題は以下の3点です。

  1. 検出の有効性
    エンドポイントやビジネスデータが保存、アクセスされる場所を中心とした検出を行うことで検出の有効性を向上する
  2. 調査のスピード
    EDRの新たな調査機能を拡張し、統合されたテレメトリソースにおける根本原因分析を自動化することで調査スピードを向上する
  3. 対応速度と完全性の向上
    EDRの対処機能を拡張し、対処推奨事項の自動生成と全ての対処アクションのオーケストレーションを可能にする

ネイティブXDRとハイブリッドXDRの違いは!?

上記の3つの基本的な課題を解決するためのアプローチ方法として主に以下の2種類あります。

ネイティブXDR

他の形式のテレメトリを収集し、そのテレメトリに関連する応答アクションを実行するために、ポートフォリオの他のセキュリティツールと統合するXDRスイート

ハイブリッドXDR

他の形式のテレメトリを収集し、そのテレメトリに関連する応答アクションを実行するために、サードパーティとの統合に依存するXDRプラットフォーム

※EDR専業ベンダーの多くが後者の「ハイブリッドXDR」を採用しています。

VMwareは、ITインフラをベースにエンドポイント、ネットワーク、クラウドなど広範にセキュリティ領域をカバーしているため、「ネイティブXDR」を実現可能です。VMwareのネットワークセキュリティ技術をVMware Carbon Blackに実装することで、XDR設計に関係する追加コストなく導入することができます。
加えて、ネットワーク上に新たにセンサーを設置する必要がないため、リモートアクセス時のVPN利用などのLAN外の通信も監視、可視化することができます。

Carbon Black XDR で実現するラテラルセキュリティ

Carbon Black XDR の機能を有効化することで、これまでの EDR 機能に加え、侵入防止システム(IDS)およびネットワークのさらなる可視化、認証イベントの収集を強化する機能が追加されます。
これにより、社内でも社外でも、あらゆるネットワーク環境においても、場所を問わずラテラルセキュリティの実現を強力に支援します。

Carbon Black XDR の機能を有効化することで、以下の3つの機能が追加・強化されます。

  • 侵入検知システム(IDS)機能
  • ネットワークイベントの収集機能拡張
  • 認証イベントの収集

侵入検知システム(IDS)機能により、VMware より提供される IDS シグネチャを用いて、Carbon Black センサー単体でネットワーク経由で行われる不正行為を検知できるようになりました。
さらに、侵入検知システム(IDS)により検知された結果は他のアラートと同様に管理コンソール上で確認できます。

侵入検知システム(IDS)アラートの表示

IDS のシグネチャにより検知された疑わしい通信のアラートを抽出

  • [アラート]メニュー
  • [フィルタ]内の[タイプ]にて[侵入検知システム] を選択

侵入検知システム(IDS)アラートの詳細

​アラートの詳細を確認

  • ​詳細を確認したいアラートの右端の[>]をクリック
  • 表示されるアラートの詳細を確認

また、ネットワークイベントの収集機能拡張では、HTTP 通信におけるアプリケーションレイヤーの詳細情報や、TLS 通信における JA3 フィンガープリントなどの情報が新たに取得できるようになりました。

HTTP 通信イベントの詳細情報の確認 – 拡張された情報の確認

​これまでのネットワーク情報に加え、より詳細の情報の確認が可能

  • ​​接続方向・接続先・接続時のアクション
  • フローイベントの詳細
  • アプリケーションレイヤーの詳細

TLS 通信イベントの詳細情報の確認 – 拡張された情報の確認

  • ​​​TLS 通信におけるTLS バージョン情報や JA3 フィンガープリント情報を表示
  • ​JA3 フィンガープリントを IoC として利用することでC2 サーバへの通信の識別が可能

これら Carbon Black XDR で取得可能となったネットワーク情報を活用することで、脅威をより迅速に検出し対処することが可能となります。さらに、認証イベントの収集では、ラテラルムーブメント時に発生する不審なログオンイベント等を特定できるようになり、調査スピードの向上を実現します。

認証イベントの確認 – 認証イベントの詳細確認

イベント詳細の確認方法

  • ​​確認するイベントの[>] をクリック

アラートやEDR イベントと同様の方法で認証イベントの詳細情報の確認が可能

 

プラットフォーマーであるVMwareだからこそ実現できるネイティブXDR

ハイブリッドXDRと異なり、利用環境に制約なくXDR機能を提供することができる Carbon Black XDRの優位性は主に以下の3点です。

  1. XDRを導入するために必要なネットワークセキュリティ機器のアップサイジング、SI費等の追加コスト削減に寄与
  2. ネットワーク経由の不審/不正な通信の検知、豊富なネットワークイベント、認証イベントの収集により、一層の調査スピードの向上に貢献
  3. Carbon Black XDRはネイティブXDR。他VMware製品と連携、ワンストップでサポート&サービスを提供

Carbon Black XDR のよくあるご質問(FAQ)

セミナーのご案内

VMware Carbon Black XDR で実現する
ラテラルセキュリティ

ネイティブ XDR が選ばれる理由

本オンラインセミナーでは、Carbon Black XDR のマーケットでのポジショニングから製品概要を管理画面のデモとともにお伝えしつつ、ユースケースやよくある質問の回答まで網羅的にご紹介します。

詳細とお申し込みはこちら

おすすめ資料ダウンロード

この記事を読んだ人がよく読む記事

最新の「課題を解決」

人気の記事

TOP