Cortex XDR - 統合型セキュリティプラットフォーム

あらゆる場所に不正に侵入してきた脅威を迅速に検出・対処

セキュリティ脅威の多様化や高度化が進む中、EDR（Endpoint Detection and Response）といった攻撃を受けた後のセキュリティ対策が注目されています。

EDRやNTAなど独立したツールが増えると、情報セキュリティ担当者は膨大な量のアラートや情報収集と各データの相関関係分析に追われ、本来目的としていた迅速な脅威の検知・対処が困難になります。

Cortex EDRは、ネットワーク・エンドポイント・クラウドに跨る詳細なログデータを機械学習（AI）を活用した迅速な分析により、脅威の発見・分析・対処までをワンストップで提供するクラウドベースのアプリケーションです。

なぜEDRではなく、XDR？

XDRの「X」は、ネットワーク、エンドポイント、クラウドといった任意のデータソースを表し、セキュリティをエンドポイントからの観点やネットワークからの観点といった点で考えるのではなく、面として組織を可視化し保護します。

EDRとXDRの違い

例えば、組織の中のPC1台がマルウェアに感染してしまい、複数回にわたる不正な通信を行ったとします。

もし、企業が失敗した通信のログデータしか保管していなかった場合、「不正な通信によりデータ被害は発生したのか」、「その場合、データはどこまで漏洩したのか」など、原因調査には多大な時間と労力を要してしまうかもしれません。

脅威を迅速に検知することは大切なことですが、見つけた脅威の原因を調査し対処までも迅速に行うことが求められます。Cortex XDRは、ネットワーク・エンドポイント・クラウドといった各センサーから収集されたデータをつなぎ合わせ、攻撃を正確に検出することにより脅威調査を簡素化し、迅速な対処を実現します。

EDRの場合

どこのアドレス宛に通信をしたことはわかる

XDRの場合

どこのアドレス宛に通信をしたことはわかる

通信が成功したのか、失敗したのかがわかる

成功したときに送信されたデータが何かわかる

データがどこまで送信されたのかがわかる

Cortex XDR　2つのメリット

Cortex XDRは、セキュリティ運用にかかわる負荷を軽減化させ、効率的で包括的なセキュリティ体制を実現します。

１．脅威の早期発見　　- プロファイルを作成し"異常な行動"を自動的に検出 -

Cortex XDRは、ネットワーク・エンドポイント・クラウドからデータを収集し、各ユーザー・各デバイスのアクティビティ（ふるまい）を分析し、AIによる一定期間の学習期間を経てプロファイル化を行います。

構築されたプロファイルを基づき過去の動作やピアの動作との比較により、マルウェアやグレイウェアの動作、C&C（コマンドアンドコントロール）、調査活動（横方向の移動）、データの引き出しなどの悪意のあるアクティビティを自動的に検知します。

Cortex XDR の動作分析アーキテクチャ

２．迅速なアラート原因の把握　　- AIによる相関分析の実施 -

Cortex XDRは、ネットワーク・エンドポイント・脅威インテリジェンスなどの各所からログデータを収集・自動的にデータを相関させ、わかりやすい前後関係情報を構築します。

特許取得済みの独自の分析エンジンが、何十億ものイベントを継続的にレビューして、あらゆる脅威の背後にある一連のイベントを特定します。攻撃シーケンスを根本的な原因にまでさかのぼって可視化し、シーケンス内の各要素に関する重要な詳細情報を提供することによって、複雑な攻撃を可視化し把握しやすくします。

これにより、セキュリティ担当者は、手作業でイベントを相関付けたりコンソール間を行き来することなく、どのエンドポイントプロセスがネットワーク・クラウドセキュリティのアラートの原因となっているかを瞬時に確認することができます。

構成パターン

ご利用センサーの種類により利用できる機能が異なりますが、大きく3パターンに分けられます。

エンドポイントを活用	次世代ファイアウォールを活用	両方活用

Trapsが導入されたエンドポイント	次世代ファイアウォール	次世代ファイアウォール
	既存エンドポイント	既存エンドポイント Trapsが導入されたエンドポイント
	オプション（Pathfinder）	オプション（Pathfinder）