公開日
2023年7月21日
更新日
2023年10月27日
新人SEからVision Oneマスターに、私はなる! #2 トレンドマイクロのEDR/XDRを簡単に紹介
こんにちは、セールスエンジニアリング部 Vision One オンボーディングチームの髙木です。
「新人SEからVision Oneマスターに、私はなる!」シリーズ 第2回の本編では、トレンドマイクロのEDR/XDRとそのメリットについて簡単にご紹介します。
・EDR/XDRという言葉は聞いたことがあるがどういった機能なのか?
・EDR/XDRを導入することでどんなメリットがあるのか?
・トレンドマイクロのEDR/XDRであるTrend Vision One™(以下、Vision One)はどういった特徴があるのか?
といった疑問をクリアにしていただけるような内容となっております!
そもそもEDRとは?XDRとは?について確認されたい方は本シリーズ第1回目の「#1 進化するマルウェアとその対策:EDR/XDRの重要性」をご覧ください!
1.はじめに
前回の記事「#1 進化するマルウェアとその対策:EDR/XDRの重要性」で、マルウェアが進化したことやEmotetといった高度な脅威の進出により、EDR/XDRというセキュリティ対策が重要になっているお話をさせていただきました。
トレンドマイクロのEDR/XDRやVision Oneはどういったものなのか、どのようなメリットがあるのかについて順を追ってご説明していきます。
2.トレンドマイクロのEDR/XDRを簡単に紹介
EDRはエンドポイントから収集した情報をもとにインシデントの調査を実現してきました。
それに対してXDRは、組織の環境から収集したすべての検知データを、複数のセキュリティ層(エンドポイント、電子メール、クラウド/サーバのワークロード内、ネットワーク)を横断し攻撃の全体像を可視化します。
データを収集しインシデント調査をした後、その問題に対処することができます。
これにより、以下2点が実現可能となります。
・複数のセキュリティ層にまたがる脅威を検出し、迅速に攻撃の全体像をつかむ。
・なぜこの攻撃をされてしまったのか攻撃の起点を明らかにする。
図1:XDRイメージ図
トレンドマイクロEDR/XDRの優位性としては、
・他社よりも対応する範囲が広く可視化できる範囲がクライアントPCやサーバだけではなく、メールやネットワーク、ゲートウェイも含まれます(特に昨今の脅威の侵入口の半数以上がメール経由のため※、メールのテレメトリ情報を確認することは非常に重要です!)。
・EPP/NGAVと併用いただくことで、パターンファイル・挙動監視・機械学習型検索を用いて既知の攻撃や脆弱性をつく攻撃を未然にブロックできます。
EPP/NGAVにつきましては「#1 進化するマルウェアとその対策:EDR/XDRの重要性」をご確認ください。
トレンドマイクロのEDR/XDRは他社よりも対応する範囲が広いため、複数の攻撃が発生した場合、原因特定までの調査に時間がかかりセキュリティ担当者の手間になるのではないかと疑問に思われる方もいるかもしれません。
その疑問につきましては次の3.でお答えしていきます。
※引用: https://www.trendmicro.com/ja_jp/what-is/xdr.html
3.Vision One の簡単な紹介
Vision Oneとはトレンドマイクロが提供するSaaS型のセキュリティ運用支援のプラットフォームです。
利点としてはトレンドマイクロではこのVision Oneという1つのコンソール画面を見るだけでセキュリティ対策が出来ることです!
複数の攻撃が発生したとしても各セキュリティ製品の疑わしい情報が自動でVision Oneの管理コンソールに表示されるので、セキュリティ担当者の手間の軽減と原因特定までの時間を短縮することができます。
機能構成としては大きく分けて①~③の3つに分類されます。
①XDR
すべてのセキュリティ層を横断し攻撃の全体像を可視化します。
②Risk Insights
ユーザ、デバイス、クラウドアプリのリスクを評価し、全体のリスクを可視化します。
③Zero Trust Secure Access
あらゆるユーザ、デバイス、場所からいつでも内部およびクラウドアプリケーションや環境にまたがるすべてのアクセスを保護します。
Trend Micro Apex One SaaSやTrend Micro Cloud One - Workload Securityなどの弊社各セキュリティ製品やサードパーティ製品から集めたデータをXDRデータレイクというデータの収集箱へアップロードします。
アップロードされたデータをもとに2.でご説明したXDR機能に加え、Risk Insights 、Zero Trust Secure Accessが機能します。
図2:Vision One 機能構成
実際にV1のすべての機能を「Trend Vision One™無料体験版」にて30日間無料でお試しすることが出来ます!
その中でもEDRを体験する流れについては「Trend Vision One™ XDR トライアルはじめの一歩」にまとめていますのでご確認ください。
4.主な機能と利点
以下の機能は次回以降の記事でコンソール画面を用いてさらに詳しく説明していきます。
それぞれ機能の詳細記事をアップした後に(主なアプリ名)にリンクを付けていきますのでご確認ください!
| 機能 | 利点 | 主なアプリ名 |
|---|---|---|
|
アクティビティデータを検索したり、検知したアラートの影響範囲を把握やインシデントの調査や対処の際に利用します。 | ・Workbench ・Search |
|
クラウドメールボックス、エンドポイント、および環境内を検索して、既存のセキュリティソリューションを回避している可能性のある脅威を検出します。 | ・Cyber Risk Assessment -フィッシングメール対策 -メールボックス診断 |
|
全体的なリスク指標、デバイスの危険性、継続的な攻撃、およびすべての要因を把握し、企業のセキュリティ状況を的確に把握します。 ユーザおよびデバイスに関連するクラウドアクセスアクティビティと脆弱性を迅速に評価し、ネットワークで検出されたリスクを軽減する方法を決定します。 |
・Executive Dashboard ・Operations Dashboard |
|
ネットワーク製品のセキュリティ対策の向上のため、安全な仮想環境で分析するためにサンプルを送信したり、サードパーティのIOC情報(侵害指標のこと)をVision Oneに同期することができます。 | ・Sandbox Analysis ・Third-Party Intelligence |
|
オンプレミス製品またはサードパーティ製品をブリッジしたり、ご利用の環境の診断から修復処理までさまざまな処理を自動化することができます。 | ・Service Gateway Management ・Security Playbooks |
|
エージェントを配信したり、エンドポイントグループにXDRや脆弱性診断といったセキュリティ設定を一括で適用することができます。 | ・Endpoint Inventory |
|
インターネットアクセスおよびプライベートアクセスのルール管理、アクセス履歴・構成管理を実施する機能です。 | ・Secure Access Overview |
5.まとめ
一般的なEDRを導入したとしても複数のレイヤで攻撃が発生した場合、複数のコンソールを確認する必要があり原因特定・対処までの時間がかかってしまうという課題がありますが、
Vision Oneでは各セキュリティ製品の疑わしい情報が自動で管理コンソールに表示されるので、セキュリティ担当者の手間の軽減と原因特定までの時間を短縮することが出来ます!
次回予告
今回はVision Oneの概要やトレンドマイクロのEDR/XDRのメリットについてお話ししてきました。
次回の記事ではセキュリティの対応の流れにおける「調査」や「対処」のフェーズでアラートを可視化できる機能をもつ「Workbench」の特徴・利点と使い方について詳しく説明していきます!
※このブログシリーズでは、当社のEDR/XDR製品である「Trend Vision One™」の機能や使い方に関する記事を順次公開する予定です。
最新のVision Oneについての情報は、Online Helpをご確認ください。
Vision Oneの無料体験版はこちらからお申込みください!
ブログシリーズ『新人SEからVision Oneマスターに、私はなる!』
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
Vision Oneオンボーディングチーム セールスエンジニア
髙木 彩未