Security 第94回「XDRを構成する要素について」

まず押さえておきたいのは、Cisco XDRは単体の製品ではないという点です。

CiscoXDRは以下のような役割分担で構成されています。

各製品・センサーからデータを収集

収集したデータを分析・相関

結果をインシデントとして可視化・対応

この流れを実現するために、Cisco XDRの裏側では複数のサービスが連携しています。

各種センサーの役割は実際のクライアント環境からイベントや通信情報を取得し、SCAへ送信する役割を担っています。

前回紹介したNVMのセンサーの一つになります。

NVM以外にも、以下のような製品がセンサーとして動作します。

・Cisco Secure Endpoint

・Meraki

・Umbrella

・各種サードパーティ製品

上記に挙げた製品だけでなく、Cisco XDRと連携する製品すべてがSCAに情報を送信するようになっています。

また、Cisco XDRと直接連携しない製品であっても、オンプレミスに設置したセンサー(仮想サーバー)で NetFlow や Syslog を収集し、Cisco XDRへ送信するケースもあります。

2.Secure Cloud Analytics（SCA）

CiscoXDRにおける通信データの分析を担っているのが Secure Cloud Analytics（SCA）です。

SCAは、以下のような役割を持っています。

・ネットワークフローの解析

・通常時の通信挙動を学習

・振る舞いベースでの異常検知

つまり、センサー類から提供されたデータの分析やアラートの検知という動作はSCAで行われています。

その為、Cisco XDRで表示されるアラートの挙動を調整したい場合、実際の調整はSCA側で行う必要がある点には注意が必要です。

XDRは、セキュリティ運用のハブとなる存在です。

・各種セキュリティ製品との連携

・インシデントの管理・可視化

・ワークフローによる自動対応

といった役割を担っています。

XDRのダッシュボード上では「CiscoXDRがすべてを行っている」ように見えますが、

実際には分析そのものは別のサービスが担当しています。

CiscoXDRは一つの製品に見えますが、

実際には 「XDR・SCA・センサー」 を中心とした複数コンポーネントの連携によって成り立っています。

・センサー：通信データ、イベント情報を収集

・SCA：データを分析・検知

・XDR GUI：結果を統合・可視化・対応

この構造を理解し、Cisco XDRをチューニングする際にどの部分を変更する必要があるのか、といったことも意識するとよりCisco XDRを理解がより深まるはずです。

最後までご覧いただき、ありがとうございました。