Cisco 担当者コラム
Cisco・Security
Security 第85回「Cisco XDRのご紹介」
はじめまして。セキュリティ製品担当の小野田です。
今回は、インシデント検知・対応を効率化し、セキュリティ運用を一元化できる製品「Cisco XDR」についてご紹介します。
専任のSOC(Security Operation Center)部隊を持たない企業や、ネットワーク部門とセキュリティ部門の連携が難しいといった課題を抱えている企業、そして複数のセキュリティ製品を管理されている現場のご担当者様にとって、Cisco XDRは非常に実用的で頼れる製品になりますので
ぜひ最後までご覧ください。
XDRとは?
まず、そもそもXDRとは何なのか、どのような背景で誕生した概念なのか、というところからお話しします。
近年のサイバー攻撃は、単純なマルウェア感染やフィッシングだけでなく、複数の攻撃手法を組み合わせた多段階攻撃や、ネットワーク内の複数の領域を横断して拡散するラテラルムーブメントが主流となっています。
従来のセキュリティ対策では、ファイアウォール、エンドポイント保護、メール保護などが個別に機能していましたが、これらが孤立していると攻撃の全体像を把握するのが困難になります。
こうした課題に対応するために登場したのが XDR(Extended Detection and Response)です。
XDRは、複数のセキュリティ製品やデータソースを横断的に統合し、脅威の検出・分析・対応を一元的に行う仕組みです。そして、このXDRの考え方を具現化した製品がCisco XDRです。
Cisco XDRの主な機能
1.製品間の連携
Cisco XDRはCisco製品だけでなく、様々なサードパーティ製品とも柔軟に連携可能です。
これにより、異なる製品から得られる情報を統合し、相関分析やインシデントの記録・管理が可能となります。
そのため多数のセキュリティ製品が混在している環境でも一元的なセキュリティ運用を実現します。
2.自動相関分析
インシデント対応では複数の機器の関係性を把握するために相関図を作成することがありますが、手作業では非常に手間がかかります。
Cisco XDRでは、連携された製品から収集したデータをもとに、自動で相関図を生成します。
これにより、攻撃の流れや影響範囲を視覚的に把握でき、対応の優先順位付けが容易になります。
さらに、AIがインシデントの概要を文章で要約してくれるため、セキュリティ担当者が状況をすばやく理解し、対応することができます。
3.Network Visibility Module(NVM)
「他製品と連携しないと使えないのでは?」と思われるかもしれませんが、そうではありません。Cisco XDRを購入すると NVM(Network Visibility Module)というモジュールが利用可能となり、Secure Clientに組み込むことで活用可能です。
NVMを導入することで、クライアントの通信情報をXDRに連携し、相関分析やインシデント管理に活用できます。特に、通常のNDRでは検知が難しい クライアント間の通信(East-West Traffic)を可視化できる点が大きな強みです。
4.ワークフローによる対応の自動化
Cisco XDRには、インシデント対応を効率化するためのワークフロー機能が多数用意されています。あらかじめ用意されたテンプレートを使えば、感染端末の特定から封じ込め、不審なプロセスの停止、復旧手順の実行までをスムーズに実施することができます。もちろん、独自のワークフローを作成することも可能で、環境に合わせた柔軟な運用ができます。
まとめ
Cisco XDRは、複数のセキュリティ製品が混在する環境でも情報を統合し、効率的なインシデント対応を可能にする非常に便利な製品です。
今後のブログでも、Cisco XDRの活用方法や最新機能について随時ご紹介していきますので、ぜひご期待ください!
最後までご覧いただきありがとうございました。
<<<Cisco Security エンジニア情報局 前回の記事>
