Trend Micro Cloud OneでXDR機能を試してみよう～その①～

こんばんは。小寺です。
今日はTrend Micro社が提供しているTrend Vison OneのXDR機能について、ご紹介します。
Cloud One Workload Security(C1WS)には別製品のTrend Vision Oneと連携して、C1WSでXDR機能を使うことができます。2回ほどに分けて、Trend Vision OneとC1WSの連携方法及びXDR機能の活用方法についてお伝えさせていただきます。

Trend Vison Oneとは

Trend Vision Oneはトレンドマイクロが提供するSaaS型のセキュリティ運用支援のプラットフォームです。プラットフォームには、インシデント対応の支援、リスクの可視化やアクセス制御といったゼロトラストへの道のりを支援する機能が搭載されており、日々製品機能のアップデートがされています。
以下にAWSマーケットプレイスからの購入方法についてもまとめています。

過去記事： Trend Vision Oneを試してみた①～フィッシングシュミレーション診断編～

XDRとは

XDR(Extended Detection and Response)は、サイバー攻撃の事後対処として、脅威がユーザ環境に万が一侵入した際に、根本原因を特定してインシデントの調査、対処を行う機能です。EDR(Endpoint Detection and Response)は、エンドポイントに限定した機能ですが、XDRはエンドポイントに加えて、ネットワークやサーバ、メールなど複数のレイヤの情報を相関分析することで、サイバー攻撃の全体像を可視化して対処できます。
Trend Micro社サイト

XDRの仕組み

EDRは、エンドポイントにおける正・不正問わずファイルやプロセスに対するアクティビティデータを分析します。

それに対して、XDRは異なるテクノロジーを組み合わせることで、別々に運用する場合よりも正確な検知を行うことができ、セキュリティを強化します。コンピュータ、サーバ、ファイアウォールの製品横断的な検出結果を集約し、収集・表示することでエンドポイントに加え、メール、サーバ、クラウドワークロード、ネットワーク等の複数のセキュリティレイヤからテレメトリを収集し、分析します。

例えば、メール経由で脅威が侵入した場合、メールの件名や受信時間、感染のトリガーとなったファイルの特定、その他ユーザにおける受信状況の調査を行うことができ、メールのブロックや該当脅威の封じ込めをすることができます。

さらに、これらの収集したデータを単一のクラウドコンソールに取り込むことで、複数のコンソールやサービスの学習コストをかけることなく簡単に利用することができます。進化する脅威モデルと複雑なセキュリティ上の課題に直面することが増えていますが、XDR セキュリティは、より効率的で先回り型のソリューションとなります。

XDRの主な機能

XDRには主に以下のような機能があります。

・サイバー攻撃の可視化
エンドポイントだけでなく、サーバーやネットワーク機器、エンドポイント端末、各種セキュリティ製品からログ情報を収集し、相関分析を行うことで脅威の全体像を可視化することができます。 SIEMにも似ているように感じられるかもしれませんが、エンドユーザ側で環境をセッティングする必要はありません。

・MITRE ATT&CKをベースにした攻撃手法の分析
非営利団体MITREにより開発された「MITRE ATT&CK（以下、ATT&CK）」について、ご存じでしょうか。サイバー攻撃の流れと手法を体系化したフレームワークであるとも言えます。その構成要素として、Tactics（戦術:攻撃者の目的）、Techniques（使用する攻撃テクニック）、Groups（攻撃者情報）、Software（ソフトウェア ※攻撃に使用されるツール）が主な情報ソースです。複数のセキュリティレイヤから収集したテレメトリによる情報をもとに根本原因を分析します。事前定義のルールを使用して、攻撃の検出を速やかに開始できます。資産全体にわたる影響の範囲を特定することができます。

・インシデント対応の自動化
セキュリティプレイブック（条件に応じた処理の自動化を設定したスクリプト）を使用して、複数のセキュリティレイヤにわたり対応すべきアクションの優先順位を付け、サイバー攻撃の対応の自動化を行い、対応スピードを向上できます。

Trend Visin OneからXDR機能を使ってみるには

(1) Trend Vison Oneにログインします。

(2) 「XDR THREAT INJECTION」から利用できる機能が確認できます。

(3) 「Detection Model Management」メニューをクリックしてみます。適用可能な製品が表示され、AWS Cloud Trailや Cloud One Workload Security(C1WS) との連携で有効化されるようです。

(3) 「Forensics」は利用するには、設定が必要です。

(4) 本コラムを記載している2023年10月22日時点では、プレビュー機能となっていますが、「Targetted Attack Detection」という機能があります。スマートフィードバック、機械学習予測等を有効にしていない場合は、有効化してスキャンを再度実行できます。この機能で共有されるデータにより、トレンドマイクロ社側で新しい脅威を特定し、対処することができるようです。