1. サイバー脅威とEDR

急増するサイバー攻撃

2021年末より、マルウェア「Emotet」の被害が急増しています。Emotetに感染した端末は、他のマルウェアに感染させられ、最終的にはランサムウェアを社内に拡散することに悪用される例もあります。

攻撃者にとってこうしたサイバー攻撃により内部活動で得られる情報には非常に価値があるため、近年、侵入したネットワークへの遠隔操作の権利やアクセス権を取得後、他のサイバー犯罪者に販売、レンタルするといったビジネスへと広がっており、被害も拡大してきております。

侵入経路は多様化、完璧に防ぐことはできない

COVID-19をきっかけに、テレワークやクラウドサービスの利用が急速に進みました。さまざまな端末がリモートから社内ネットワークに接続し、データはクラウドに分散しています。その結果、侵入経路は多様化し、攻撃者は様々な脆弱性を狙って活発に活動しています。企業はサイバー攻撃を完璧に防ぐことが難しい状況となっています。

マルウェアEmotetの感染再拡大に関する注意喚起より

Emotetの感染増加
活動再開したEmotetは、2020年ピーク時の5倍

トレンドマイクロ製品による主な最新型ランサムウェアファミリーの検出台数推移(全世界)
出典:トレンドマイクロ2021年年間セキュリティラウンドアップより

ランサムウェアの増加
2021年にランサムウェア被害が公表・報道された法人組織だけでも53件

現在のサイバー脅威に有効なEDR

脅威の侵入を前提とした場合、万が一のリスクに対して、攻撃を可視化し迅速に対処につなげるソリューションがEDR(Endpoint Detection and Response)です。エンドポイントにおける日々の動作記録を、安全、危険にかかわらずドライブレコーダーのようにとっておき、脅威の兆候があったときに動作記録を見直すことができます。侵入経路や感染拡大の流れを可視化し、被害拡大を抑え、根本原因を把握することに大きく貢献します。

情報漏洩時の報告が義務化、EDRによる可視化が必要

2022年4月1日より、改正個人情報保護法が施行されました。個人の権利保護が強化されると同時に、事業者の責務が追加され、情報漏洩した場合は、個人情報保護委員会に報告、本人への通知が義務化されました。報告にあたり早急な被害・原因の把握が必須となります。EDRによる可視化はこれらの被害・原因の把握において有効なソリューションとなります。

素早く原因を特定するためには、攻撃の追跡や原因の追究が可視化できる EDR (Endpoint Detection and Response)や 、さらに幅広い対処ができるXDR (Extended Detection and Response) のようなシステムの導入が有効です。

 

2. EDRとXDRの違い

従来のEDRの限界

EDRソリューションは大きな注目を集めていますが、エンドポイントしか可視化することができません。実際の攻撃者はネットワーク、クラウド、メールなども悪用するため、素早く攻撃者を察知するにはそれらの可視化も必要です。また、各エンドポイントから上がってくるアラートは日々増加しており、重要なアラートを選別したり、攻撃の全体像を把握することは困難です。

Trend Micro XDRなら迅速な攻撃検知が可能

メール、エンドポイント、サーバー、クラウドワークロード、ネットワークなどのさまざまなレイヤーで豊富な活動データを収集して関連付けを行うのが、 Trend Micro XDRです。より多くのコンテキストを得ることによって、単体では無害に見えるイベントの中から重要な意味を持つ痕跡を見つけ出し、攻撃の全体像を可視化、迅速に把握することができます。それにより的確なインシデント対応を可能にします。

検知率No.1の実力

トレンドマイクロは、MITRE ATT&CK評価テスト ATP29の疑似攻撃によるテスト※1において、検知率91%で1位の結果となりました。また、検知率に対してのノイズアラートも少ないという評価を得ました。

※1
出典: https://attackevals.mitre-engenuity.org/enterprise/participants/trendmicro?adversary=apt29&scenario=1&view=results
製品の初期設定時(設定変更なし)の評価テストで、ベンダー21社中検出率1位
トレンドマイクロが、MITRE社のMITRE ATT&CK評価テストの結果をもとに独自に検知率を算出。
※2
ステップ19のみ全ベンダスキップ

XDRによる迅速な対応

XDRは、高度に自動化された脅威の検知、分析機能により、サイバー攻撃を可視化します。機械学習やトレンドマイクロの専門家チームによるセキュリティ分析や検知ルールを通じてノイズレベルを削減し、真に対応が必要なアラートを抽出します。

また、EPP※1と連携して、端末の隔離やマルウェアのリモート取得、禁止リストへの追加等、素早い対応が可能となります。

※1
EPP(Endpoint Protection Platform):感染前に検知・ブロックを行う事前予防の技術です。
またトレンドマイクロのEPP製品は次世代AV (NGAV) 機能も搭載されており、未知の脅威検出も可能です

1. 検出

XDRで脅威を検出する検出モデルを選択すると収集されたデータから自動で適切にアラートが発報され、Workbench(調査アプリケーション)に情報が送られます。

検出モデル
有効化する検出モデル(Detection Model)を選択することができます。
リスクレベルが表示されているので優先順位をつけることができ、有効化した検出モデルに沿って、収集したアクティビティデータを相関分析して脅威を検出します。

※クリックで拡大

2. 調査

検出・アラート発報された脅威イベントは、自動で調査用アプリへ送信されていますのでWorkbenchアプリを使用し、イベントを可視化・内容の確認・調査を行います。

Workbench
検出モデルによって脅威イベントの関連性を可視化します。
関与しているユーザー、ホスト、不審なスクリプトの関係を可視化できます。
例えばアラートを開くと、アラートに関連するアセットが表示されます。
ウェブサイトやユーザー、メールボックス ワークステーション、サーバー、コンテナ、コマンドラインの利用などです。

※クリックで拡大

実行プロファイル
特定端末内のプロセスツリーを表示します。こちらではホスト内でどのようなプロセスで不審なプロセスが実行されたのかを可視化し、問題のエンドポイントやフラグがたてられたアクション、実行中のログに記録されたファイルやプロセス、ネットワーク接続などの詳細情報を確認できます。
不審なプロセスやファイルはハイライトされ一目でわかります。プロセスをクリックすると更なる詳細情報が表示され、実行したユーザーやコマンドラインがわかるようになっています。

※クリックで拡大

3. 対処

調査内容に従い対処(端末隔離やマルウェア疑いファイルのリモート取得、禁止リストへの追加)等EPP(Apex One)との連携により素早い対応が可能となります。

Response Management
実行したレスポンス(対処)機能のステータスを表示します。
実行されたResponseタスクのステータスや対象ワークベンチ、実行ユーザー、実行日時などの各種情報を一元的に管理します。

※クリックで拡大

日々の運用では、2の調査と3の対処を繰り返して回していきます。

ユースケース:インシデント対応時間を大幅に削減

サイバー攻撃の増加に伴い、セキュリティスタッフの対応時間も日々増加しています。これまでのセキュリティソリューションでは、データの収集や分析がサイロ化しているため、脅威の検知に時間がかかりすぎ、十分に対応できていませんでした。

XDRを導入することで、エンドポイント、ネットワーク、メール、クラウドからのデータについて相関分析を行い、検知と対応を自動化することで、対応時間を大幅に短縮することができます。

 

3. 運用におけるポイント

EPPとの併用で誤検知を削減

EDRによる検知は確認や分析が必要になるため、既知の脅威などすべてをEDRで対応すると運用負荷が高くなります。EPPと併用することでEDRが処理するべき情報を減らし、誤検知を減らすことができます。

インシデント対応にもEPPが必要

インシデントの終息には、EPPによる最終確認が必要であり、実績があり信頼できるEPPを使うことが重要です。終息の確認には、既知の脅威の検査が得意なパターンマッチングが適しています。

影響範囲の
可視化
  • 組織内で脅威の影響がどこまで拡がっているかを確認します
根本原因調査
(Root Cause Analysis)
  • 特定の端末における脅威の活動から侵入プロセスの詳細を可視化/調査します
対処
  • エンドポイントの隔離/復旧
  • 不正プロセスの終了
  • ブロックリストへの追加/解除
  • メールの隔離/削除
インシデントの
終息
  • EPPによる全台スキャンで組織内に脅威が存在しないことを確認
最終的にはEPPが必須。EDRとの連携も重要
 

4. SOCサービス

ネットワールドマルチベンダーSOCサービス

ネットワールドでは、エンドポイントApex One、Apex One SaaS製品におけるEDR/XDRのSOCサービスを展開しています。

<主な内容>

  • 24時間365日体制
  • セキュリティイベント常時監視
  • 脅威トリアージ (アラートの重要度に応じて優先順位付けを行い、重要度に応じた対応を実施)
  • 緊急性および重要性が高い脅威の即時通知・対象調査
  • サービス内容により、3種類の料金プランをご用意

ネットワールドマルチベンダーSOCサービスは、企業や組織の規模問わず、より多くのお客様のサイバーセキュリティにおける人的対策と技術的対策強化を支援するため、お客様の“あったらいいな”を形にしたSOCサービスです。また、複数メーカーの製品が混在する環境でもまとめてご提供できるサービスとなります。

詳細はこちら

Trend Micro XDRの対象製品

現在Trend Micro XDRをご利用いただけるトレンドマイクロの主な製品です。
各レイヤーのセキュリティ製品がセンサーとして機能いたします。
詳細はお問い合わせください。

エンドポイント Apex One、Apex One SaaS、Apex One SaaS with XDR
サーバー Cloud One Workload Security
Email Cloud App Security
ネットワーク Deep Discovery Inspector

2022/7/1現在

資料ダウンロード

こちらより、 Trend Micro XDRについて、まとめた資料がダウンロードいただけます。

資料ダウンロードお申し込み

Trend Micro XDRへのお問い合わせはこちら

Trend Micro のEDR/XDRに関するお問い合わせは、ネットワールドの担当営業までお問い合わせください。

お問い合わせはこちら

トレンドマイクロのパートナー様向けサイト「トレンドマイクロパートナーポータル」では、製品に関する詳細な資料や技術的なお問い合わせが可能です。是非こちらもご利用ください。

トレンドマイクロパートナーポータル

※ご利用には、ご登録が必要になります。

TOPへ