2023年3月15日より VMware Carbon Black Cloud の新機能として、VMware Carbon Black XDR の提供を開始しました。Carbon Black XDR の機能を有効化することで、これまでの EDR 機能に加え、ネットワークのアクティビティの収集及び脅威検知の機能、認証イベントの収集機能が追加されます。
これにより、社内でも社外でも、あらゆるネットワーク環境においても、場所を問わずエンドポイントレベルでのラテラルセキュリティの実現を強力に支援します。

本ページでは、Carbon Black XDRのマーケットでのポジショニングから製品概要を管理画面のイメージとともにお伝えしつつ、ユースケースやCarbon Black XDR のよくある質問の回答まで網羅的に掲載していきます。

目次

• そもそも XDR（eXtended Detection and Response）って何！？ 
• XDR が必要となる背景 
• ネイティブ XDR と ハイブリッド XDR の違いは！？ 
• Carbon Black XDR で実現するラテラルセキュリティ 
• プラットフォーマーである VMware だからこそ実現できるネイティブ XDR 
• Carbon Black XDR のよくあるご質問（FAQ） 

そもそも XDR（eXtended Detection and Response）って何！？

サイバー攻撃の全てを防御することが困難と言われるなか、ランサムウェアのようにビジネス活動の継続に深刻な影響を与える事例が急増し、企業運営の視点からのセキュリティ対策が求められています。

進化を続ける脅威に対抗するために、セキュリティ対策も次々に新たなものが登場しています。 近年、導入が加速しているエンドポイント対策の「EDR（Endpoint Detection and Response）」に続いて「XDR（eXtended Detection and Response）」というキーワードを見かける機会も増加しています。

Forrester社は、XDRを以下と定義しています。

“脅威の検知、調査、対応、ハンティングをリアルタイムで最適化するEDRの進化形。XDRは、セキュリティに関連するエンドポイントの検出を、NAV、メールセキュリティ、アイデンティティ・アクセス管理（IAM）、クラウドセキュリティなどのセキュリティおよびビジネスツールからのテレメトリと一体化させます。ビッグデータ基盤上に構築されたクラウドネイティブなプラットフォームであり、セキュリティチームに柔軟性、拡張性、および自動化の機会を提供します。”

出典：Introducing The Forrester New Tech: Extended Detection And Response (XDR) — A Battle Between Precedent And Innovation

XDR が必要となる背景

現在、多くのお客様が、サイバーセキュリティ運用において、異なるベンダーの多数のセキュリティツールを導入し、且つ統合が不十分であるため運用負荷に悩まされております。
事実、Ponemon 社の調査によると、ひとつの組織で利用されているセキュリティツール導入平均数は、47個にもなります。

出典：Ponemon Study: 53 Percent of IT Security Leaders Don’t Know if Cybersecurity Tools are Working Despite an Average of $18.4 Million Annual Spend

そのような課題に対して、XDRは、サーバ、メール、エンドポイント、ネットワークなど、さまざまなデータを収集・相関分析することにより、これまでよりも早く、効率的に脅威の優先順位付け、分析などを行うことを目的としており、今後の普及が期待されています。

XDRが解決する今日のセキュリティ運用における基本的な課題は以下の3点です。

1. 検出の有効性
   エンドポイントやビジネスデータが保存、アクセスされる場所を中心とした検出を行うことで検出の有効性を向上する
2. 調査のスピード
   EDRの新たな調査機能を拡張し、統合されたテレメトリソースにおける根本原因分析を自動化することで調査スピードを向上する
3. 対応速度と完全性の向上
   EDRの対処機能を拡張し、対処推奨事項の自動生成と全ての対処アクションのオーケストレーションを可能にする

ネイティブXDRとハイブリッドXDRの違いは！？

上記の３つの基本的な課題を解決するためのアプローチ方法として主に以下の2種類あります。

ネイティブXDR

他の形式のテレメトリを収集し、そのテレメトリに関連する応答アクションを実行するために、ポートフォリオの他のセキュリティツールと統合するXDRスイート

ハイブリッドXDR

他の形式のテレメトリを収集し、そのテレメトリに関連する応答アクションを実行するために、サードパーティとの統合に依存するXDRプラットフォーム

※EDR専業ベンダーの多くが後者の「ハイブリッドXDR」を採用しています。

VMwareは、ITインフラをベースにエンドポイント、ネットワーク、クラウドなど広範にセキュリティ領域をカバーしているため、「ネイティブXDR」を実現可能です。VMwareのネットワークセキュリティ技術をVMware Carbon Blackに実装することで、XDR設計に関係する追加コストなく導入することができます。
加えて、ネットワーク上に新たにセンサーを設置する必要がないため、リモートアクセス時のVPN利用などのLAN外の通信も監視、可視化することができます。

Carbon Black XDR で実現するラテラルセキュリティ

Carbon Black XDR の機能を有効化することで、これまでの EDR 機能に加え、侵入防止システム（IDS）およびネットワークのさらなる可視化、認証イベントの収集を強化する機能が追加されます。
これにより、社内でも社外でも、あらゆるネットワーク環境においても、場所を問わずラテラルセキュリティの実現を強力に支援します。

Carbon Black XDR の機能を有効化することで、以下の３つの機能が追加・強化されます。

• 侵入検知システム（IDS）機能
• ネットワークイベントの収集機能拡張
• 認証イベントの収集

侵入検知システム（IDS）機能により、VMware より提供される IDS シグネチャを用いて、Carbon Black センサー単体でネットワーク経由で行われる不正行為を検知できるようになりました。
さらに、侵入検知システム（IDS）により検知された結果は他のアラートと同様に管理コンソール上で確認できます。

侵入検知システム（IDS）アラートの表示

IDS のシグネチャにより検知された疑わしい通信のアラートを抽出

• [アラート]メニュー
• [フィルタ]内の[タイプ]にて[侵入検知システム] を選択

侵入検知システム（IDS）アラートの詳細

​アラートの詳細を確認

• ​詳細を確認したいアラートの右端の[>]をクリック
• 表示されるアラートの詳細を確認

また、ネットワークイベントの収集機能拡張では、HTTP 通信におけるアプリケーションレイヤーの詳細情報や、TLS 通信における JA3 フィンガープリントなどの情報が新たに取得できるようになりました。

HTTP 通信イベントの詳細情報の確認 – 拡張された情報の確認

​これまでのネットワーク情報に加え、より詳細の情報の確認が可能

• ​​接続方向・接続先・接続時のアクション
• フローイベントの詳細
• アプリケーションレイヤーの詳細

TLS 通信イベントの詳細情報の確認 – 拡張された情報の確認

• ​​​TLS 通信におけるTLS バージョン情報や JA3 フィンガープリント情報を表示
• ​JA3 フィンガープリントを IoC として利用することでC2 サーバへの通信の識別が可能

これら Carbon Black XDR で取得可能となったネットワーク情報を活用することで、脅威をより迅速に検出し対処することが可能となります。さらに、認証イベントの収集では、ラテラルムーブメント時に発生する不審なログオンイベント等を特定できるようになり、調査スピードの向上を実現します。

認証イベントの確認 – 認証イベントの詳細確認

イベント詳細の確認方法

• ​​確認するイベントの[>] をクリック

アラートやEDR イベントと同様の方法で認証イベントの詳細情報の確認が可能

プラットフォーマーであるVMwareだからこそ実現できるネイティブXDR

ハイブリッドXDRと異なり、利用環境に制約なくXDR機能を提供することができる Carbon Black XDRの優位性は主に以下の3点です。

1. XDRを導入するために必要なネットワークセキュリティ機器のアップサイジング、SI費等の追加コスト削減に寄与
2. ネットワーク経由の不審/不正な通信の検知、豊富なネットワークイベント、認証イベントの収集により、一層の調査スピードの向上に貢献
3. Carbon Black XDRはネイティブXDR。他VMware製品と連携、ワンストップでサポート&サービスを提供

Carbon Black XDR のよくあるご質問（FAQ）

•  Carbon Black XDR はどの OS 上で動作するセンサーで対応してますか？

  2023年3月のGAでは、Windows OS センサーに対応しています。それ以外の OS のセンサーに関しても今後対応予定となっております。（時期未定）

•  Carbon Black XDR が対応するセンサーのバージョンは？

  Windows センサー Ver.3.9.1 以降で対応しております。

•  Carbon Black XDR を利用する場合、センサーの再インストールまたは追加モジュールのインストールは必要ですか？

  いいえ。センサーの再インストールまたは追加モジュールのインストールは必要ありません。Carbon Black XDR のライセンスをご購入いただくことで、管理サーバ側の Carbon Black XDR の機能の有効化を受けて、センサーにて自動的に Carbon Black XDR の機能が有効化されます。

•  Carbon Black XDR は、どのエディションで利用可能ですか？

  Carbon Black Cloud Endpoint では Enterprise EDR およびEnterprise エディションのアドオンとして利用可能です（Prevention, Endpoint Standard, Endpoint Advanced, および Workload のすべてのエディションではご利用いただけません。）
  ※ 2023年3月15日のGAでは、Endpoint のみの提供となります。Workload 向けライセンスの提供も今後予定しています。

•  利用可能なエディションを既に購入しているユーザーは無償で利用できますか？

  いいえ。Carbon Black XDR を利用する場合は、追加ライセンスをご購入いただく必要があります。購入単位は、デバイス単位での購入となります。

•  IDS を利用することでセンサーが消費するリソース量は増加しますか？

  IDS を利用することで、数十MBのディスク容量の増加、および若干のメモリ使用量やCPU使用率の増加が想定されます。ネットワークのスループットに関しては、遅延の回避するための処理により影響が無いよう設計されております。

•  IDS の アラートは何日間保持されますか？

  他のアラートと同様、IDS アラートは 180日間保持されます。

•  IDS および ネットワークイベントが対応しているプロトコルは？

  2023年3月のGAでは、HTTP および TLS の2つのプロトコルのネットワークイベントに対応しております。上記以外のプロトコルに関しては今後のリリースで順次対応予定です。

•  ネットワークイベントの収集において HTTP の POST 要求の本文内容を確認できますか？

  いいえ、ヘッダー情報のみ取得・表示可能です。