中堅企業を悩ませる「技術の乱立」

中堅企業のITチームは、増え続けるデバイス、ツール、そしてアラートの「モグラ叩き」のような状況に直面しています。少ない人員でこれらすべてを管理しなければならず、平均して10種類の異なるエンドポイント管理およびセキュリティツールを併用しており、機能の重複やサイロ化した対応ワークフローが問題となっています。これは、大企業と同等の脅威に直面しながらも、より少ないリソースで対応しなければならない中堅企業にとって、大きな負担となっています。

XDRによるセキュリティデータ統合の力

この課題に対する解決策が、Extended Detection and Response（XDR）です。XDRは、テクノロジースタック全体にわたる包括的な可視性を提供し、ツールの乱立を削減し、可視性を一元化します。複数のツールからのログを個別に分析する代わりに、アナリストは単一のコンソール、信頼できる唯一の情報源、そしてより明確なセキュリティ体制を得ることができます。

XDRは、さまざまなソースからのテレメトリーを関連付けることで、個別のポイントツールでは見過ごされがちなコンテキストを明確にし、セキュリティ担当者に重要な洞察を提供します。

XDR導入のロードマップ：重要なデータから着手

XDRの全面的な統合は一朝一夕に達成できるものではなく、「旅」であるとパロアルトネットワークスのR・グリーンウッド氏は述べています。重要なのは、最もクリティカルなデータから統合を始めることです。

• エンドポイント：あらゆるものがエンドポイントに接触するため、最優先で統合すべきです。
• ファイアウォールデータ：次に重要であり、エンドポイントデータと組み合わせることでより強固な防御が可能になります。
• IDデータ：ユーザーと迅速に紐付けられるため、その次に統合することが推奨されます。これにより、特定のユーザーに関連するイベントを迅速に追跡できます。

高度な分析とインシデントスコアリングでアラート疲労を解消

より洗練されたXDRソリューションは、高度な分析とインシデントスコアリングによって真価を発揮します。Cortex XDRのようなソリューションでは、アラートが「ケース」に変換され、その重大度がスコア化されます。これにより、アナリストは多数のアラートの中から最も重要なものに集中できます。

深い分析に基づいてアラートを単一の「ケース」や「ストーリーライン」にグループ化することで、アラート疲労を軽減します。XDRがない場合、アナリストはマルウェアスキャナー、ファイアウォール、クラウドセキュリティツールなど、異なるソースからの複数の低レベルアラートを個別に調査する必要があります。しかし、XDRが潜在的な攻撃の全体像を提供することで、インシデントの調査とトリアージがはるかに迅速かつ容易になります。

XDR：スマートなセキュリティ管理の基盤

XDRは、分析担当者が追加で懸念する必要のある別のコンソールではなく、ポイントツールを合理化するバックボーンとしての役割を果たします。既存のコントロールを共通のデータモデルにマッピングし、明確な所有権と調査ワークフローを割り当てることで、XDRはすべてのセキュリティインシデントに対する包括的な記録システムとなります。

まずエンドポイントから始め、次にファイアウォールトラフィックとIDを追加することで、すべてのイベントを特定のユーザーとデバイスに紐付けられます。これにより、機能しているものを維持し、重複する労力を排除し、一貫した調査と報告の方法を確立できます。その結果、アラート疲労を軽減し、セキュリティ体制を改善することができます。

技術の乱立やアラート疲労に悩む組織にとって、Cortex XDRは、既存の技術スタックを大規模に置き換えることなく、検出と対応を自動化し、エンドポイントセキュリティに対するより統合されたアプローチを採用する方法を提供します。

---

元記事: https://www.cybersecuritydive.com/spons/from-tech-sprawl-to-clarity-with-xdr/808081/