検索
最新の脅威を阻止するにはCortex XDRを
Microsoft Defender XDRの脅威検出率の低さ、サイロ化したデータ統合、複雑なライセンス体系はXDR機能が断片的であることの表れであり、標準的な脅威と高度な脅威に対して十分な防御を提供できません。
これに対して、Cortex XDRは直感的に利用できる単一の製品にMicrosoft Defender XDRと同じ機能を統合しています。Cortex XDRの主な特徴は以下の通りです。
「Turla」を模倣した攻撃シナリオを用いた2023年のMITRE Engenuity ATT&CK Evaluations (ATT&CK評価)で、Cortex XDR®はMicrosoftを含む全XDRベンダーを上回る成績を収めました。
- データ ソースを横断した機械学習による振る舞い分析
- 脅威ハンティングを支援する、業界トップクラスのマルウェア分析サンドボックス
- 一元的なクラウドベースのコンソールにネットワーク可視化機能を統合。
Cortex XDRがテストでMicrosoftを上回った要因
昨今の国家の支援を受けた攻撃を効果的に防ぐために求められる可視性と検出能力に関する高度な要件を、Microsoft Defender XDRでは満たせません。2023 MITRE ATT&CK Evaluations(Turala)の評価テストでは、ロシア連邦保安庁が用いるネットワーク インプラントとバックドアに対するEDR製品の能力が試されました。その結果、Cortex XDRの分析検出率は100%でしたが、Microsoftは78.3%でした。言い換えれば、Cortex XDRが全サブステップで検出に成功したのに対し、Microsoftは試験対象のサブステップの21.7%でエンドポイント検出に失敗していることを意味します。
昨今の脅威アクターが侵害後のネットワークを侵攻するスピードは上昇し続けています。特定の脅威を検出するためにXDRソリューションの設定変更を行う時間的余裕はほとんどありません。Microsoftの検出率78.3%という結果には設定変更を伴う検出が39件含まれますが、Cortex XDRは設定変更なしで検出率100%を達成しました。この成績を支えているのは、以下の特徴です。
- WildFire® マルウェア防御サービスとの統合を通じて、クラウド上の分析環境で未知の脅威を検出。
- 1,000以上の振る舞い属性を追跡してプロファイリングを行う、振る舞い分析機能の活用。
- 振る舞い分析機能、フォレンジック機能、ネットワーク可視化機能をCortex XDRに統合済み。
大企業向けには不適: Microsoft Defender XDRはサードパーティ統合が困難
Microsoft Defenderは、Microsoft製品から取得したデータ、インシデント、アラートの統合、関連付け、結合を必要とする組織にとっては優れた製品です。しかしながら、ファイアウォール、Webサーバ ログ、クラウド ログ、IAM製品から取得したデータをMicrosoft XDR Defender上で完全に統合するために、Microsoft Sentinelの購入を顧客に推奨しています。365、E5、E5 Security、E5 Mobility + Securityといった同社のライセンスはいずれもMicrosoft Sentinelを含みません。
その上、Microsoft Defender XDRはDuoやOktaなどの一般的なIDプラットフォームからの全IDデータ ソースの取り込みや、ネットワーク ファブリック データの取り込みに制約があります。そのため、製品を追加で購入して設定する必要があります。
これに対し、Cortex XDRエージェントは完全なXDR機能を標準搭載しています。macOS、Linux、レガシーWindows上での機能に制限があるMicrosoft製品とは対照的に、Windows、macOS、Linux、Chrome OS、Androidシステムのエンドポイントに加えて、プライベート クラウド環境、パブリック クラウド環境、ハイブリッド クラウド環境、マルチクラウド環境のエンドポイントを包括的に保護できます。この特徴を利用して以下の処理を行うことで、成長を続けるニーズに合わせたよりオープンかつ柔軟なサードパーティ統合を可能にします。
- 多数のソースからsyslogやHTTPなどの標準フォーマットでデータを取得し、対応付けを行ってから利用。
- あらゆるソースから取得したデータを自動で結合してアラートの根本原因と時系列を解明することで、脅威を迅速に特定して阻止。
- このデータを基に、XDRアラートをインシデントの一部として生成することで、組織全体を迅速に可視化。
脅威に関する統一ビュー
Cortex XDRと同等の充実した機能をMicrosoft Defender XDRで獲得するには、様々な製品と管理コンソールを使用しなければなりません。Microsoft Defender XDR単体では多様なOSに対応できないからです。そのため、サイロ化した製品を複数利用することになりますが、製品別のコンソールとダッシュボードを操作する必要があり、調査時間と管理負荷が悪化します。
Cortex XDRはインシデントとアラートの検出、レスポンス、整理を一画面で行える統合プラットフォームによってSecOpsを合理化します。Webベースの自動化されたコンソールを用いて脅威防御、インシデントの特定と検出、調査の円滑化をSOCアナリストが一元的・効率的に行えます。また、パートナーシップと専用接続モジュールを必要としない脆弱性管理機能とアイデンティティ分析機能も搭載しています。まとめると、Cortex XDRには以下のメリットがあります。
- アラートとインシデントの関連付けを一画面で行える、検出&レスポンス用のWebベース コンソール。
- Host Insightsアドオン モジュールを用いて脆弱性評価、アプリケーションとシステムの可視化、機械学習、索敵せん滅を連携させることで、全エンドポイントにまたがる脅威分析を支援。
| 製品 | Microsoft Defender XDR | Cortex XDR |
|---|---|---|
| 優れた検出と可視性 | 可視性の不足と検出漏れ
| 分析に基づく検出によって成果を向上
|
|
| |
| 企業全体の保護 | エコシステム全体をサポートできない
| 盲点の排除
|
|
| |
| ||
| ||
| 脅威の統一ビュー | 管理するツールが多すぎる
| 1つのコンソールですべてを管理
|
|
| |
|
| |
| ニーズへの適合 | 複雑かつ高コストであり、保護範囲が制限される
| お客様に最適なソリューション
|
|
|
MITRE ATT&CK評価でCortex XDRはMicrosoft Defender XDRよりも一貫して高い成績を収めました
2023 MITRE ATT&CK評価では、Microsoftが検出できた脅威のうち、最高レベルの情報を提供できたのは67.8パーセントだけです(手法レベルの検出)。残りの脅威については、まったく検出できないか、攻撃アクションに関する詳細な情報を提供できませんでした。
Cortex XDRは2年続けて100%の脅威を防御し、攻撃ステップを100%検出しました。しかも、検出結果の99.3パーセントは攻撃ステップについて最も詳細な情報を提供する「手法レベルの検出」です。そのため、アナリストがより迅速かつ的確にイベントにレスポンスできます。
Cortex XDRは2年続けて100%の脅威を防御し、攻撃ステップを100%検出しました。しかも、検出結果の99.3パーセントは攻撃ステップについて最も詳細な情報を提供する「手法レベルの検出」です。そのため、アナリストがより迅速かつ的確にイベントにレスポンスできます。
さらなる証拠が必要ですか?
以下の資料をお確かめください。エンドポイント セキュリティとSOCの生産性を左右する問題ですので、迅速な決断を。
