Microsoft Defender XDR と ゼロトラスト
Microsoft Defender XDR とは
Microsoft Defender XDR(旧:Microsoft 365 Defender)は、メール、ファイル、アプリケーション、デバイス、ID、ユーザーアクティビティなどを監視し、脅威の検出から、調査、防止、対処までを行う統合型のセキュリティ・ソリューションです。- XDR (Extended Detection and Response)とは、サイバー攻撃の痕跡を検知・可視化し、インシデントの調査、原因特定、対処を行うオペレーションのことです。
ゼロトラストとは
-
「何も信頼しない」を前提とした、セキュリティ対策の考え方です。
-
「すでに侵入されているかもしれない」という前提で、様々な視点からセキュリティ対策を講じます。
-
これらのセキュリティ対策は、EPP、EDR、CASBといったカテゴリに分類されます。
- 例えば、EPPは「Endpoint Protection Platform」の略で、カテゴリとしては「マルウェア感染前の対策」に分類されます。
Microsoft Defender XDR と ゼロトラストの関係性
-
各カテゴリをMicrosoft Defender XDR のプロダクトに当てはめると、下記の図のようになります。
(あくまでイメージです。各プロダクトが、それぞれのカテゴリに完全に一致する訳ではありません) - Microsoft Defender XDR は、ゼロトラストに基づいたセキュリティソリューションであることが分かります。
Microsoft Defender XDR の SOC運用
SOC運用とは
SOCとは、Security Operation Centerの略称で、サイバー攻撃を検知し、侵入前の防御や侵入後の対処の支援を目的とした組織です。なぜSOC運用が必要なのか
セキュリティ製品を導入すると膨大なアラートが上がりますが、このアラートに上がったすべての脅威が防御される訳ではありません。これはアラートの中に多くの誤検知が含まれるためで、一般的なセキュリティ製品は(Microsoft Defender XDR も例外ではなく)、高い確度で脅威と判断したものしか防御しません。
このため、Microsoft Defender XDR には下記のようなオペレーションが必要となります(これをSOC運用と呼びます)。
- アラートの発報を確認し、アラートの内容を調査する。
- 脅威か誤検知か?対応済か否か?緊急性はどの程度か?の判断を行い、未対応の脅威については、関係者に連絡し対応策を伝える。
- 誤検知の場合は、同じようなアラートが再発されないよう、アラートの設定を変更する。
Microsoft Defender XDR の標準的なSOC運用
Microsoft Defender XDR の標準機能(アラートメール、ポータル画面)を使って、SOC運用を行うことは可能です。また、運用にあたっては下記の理由により、セキュリティの専門家を含めた24h365Dの運用体制をご用意いただくことをお勧めします。
- アラートの分析や対応策の検討には、専門知識が必要な場合があります。
- 昼夜問わず攻撃を受けたり、短時間に大量のアラートが発生する場合があります。
Secure emotion が提供する、Microsoft Defender XDR のSOC運用
Secure emotion では、Microsoft Sentinel と Secure emotion 独自の Analytics System を活用したSOC運用を提供します。- Defender XDR のログを Microsoft Sentinel(※1)にストリーミングすることで、インシデントの検知精度を向上させます。
- 独自のログ解析システム「Secure emotion Analytics System」(※2)を導入することで、運用工数を削減します。
- 緊急度の高いアラートが発生した場合は、SOCチームが追跡調査を行い、必要に応じて電話連絡や対応策のアドバイスを行います。
※1 Microsoft Sentinel
-
Microsoft Sentinel は、Azureネイティブの SIEM(Security Information and Event Management)です。
(SIEM とは、大量のログを収集し、ログの相関分析を行うことで、サイバー攻撃の予兆や痕跡を検知するしくみです) - Microsoft Sentinelは、Microsoft Defender XDRとの親和性が高く、関連するログを簡単な操作で収集することが可能です。
※2 Secure emotion Analytics System
- 独自のフィルタリング機能により緊急度の低いアラートを抑制したり、お客様環境に沿ったアラート設定を行うことが可能です。
- 緊急度の高いアラートは追跡調査を行うため、複雑なポータル画面を操作することなく、詳細な情報を得ることが可能です。