検索
事実: 急速に進化する脅威を防ぐには、Cortex XDRが賢い選択
並みの保護ではなく、並外れた保護が必要です。平凡なXDRソリューションであるCrowdStrike Falcon Insight XDRには詳細な可視化機能と大企業向けの機能が欠けており、高度な脅威を検出できない可能性があります。
根拠:「Turla」を模倣した攻撃シナリオによる2023年のMITRE Engenuity ATT&CK Evaluations (ATT&CK評価)で、Cortex XDRはCrowdStrikeを含む全XDRベンダーを上回る成績を近年収めています。
Cortex XDR は拡張ディテクション&レスポンス機能を単一のアプリケーションで提供する製品です。エンドポイント以外のセキュリティ テレメトリとアラートを取得するために独立したデータ レイクを扱う機能も有します。
Cortex XDRの主な特徴は以下の通りです。
- データ ソースを横断した機械学習による振る舞い分析
- 業界トップクラスのマルウェア分析サンドボックス
明暗を分けた、スレッドレベルのデータ処理機能
テストでCortex XDRがCrowdStrikeを上回った要因とは
Cortex XDRの強み: Cortex XDR®はCrowdStrikeと比較して、最上位の検出分類であるテクニックレベルの検出が20%多い結果となりました。結果を分けたのは、スレッドレベルのデータをフィルタリングせずにクラウドへ継続的に送信する機能の有無です。この機能のおかげで、高度な脅威を検出してデータ レイク上でUEBA (ユーザーとエンティティの振る舞い分析)を適用することが容易になります。
CrowdStrikeの弱み: CrowdStrikeはハッシュを用いた防御に依存し、IoCが既知の攻撃の事後検出に特化しているため、十分な防御を提供できません。その証拠に、2023年のMITRE Engenuity ATT&CK Evaluations (ATT&CK評価)における標準設定での分析検出率は87.4%でした(Cortex XDRは100%)。
明白な事実: Cortex XDRは以下の3つの特徴を通じて、より広範な脅威検出と調査インテリジェンスを提供できます。
- WildFire® マルウェア防御サービスとの統合を通じて、クラウド上の分析環境で未知の脅威を検出。
- 1,000以上の振る舞い属性を追跡してプロファイリングを行う、振る舞い分析機能の活用。
- 振る舞い分析機能、フォレンジック機能、ネットワーク可視化機能をCortex XDRに統合済み。
包括的な自動調査がインシデント レスポンスを高速化
防御の範囲と時間の制約は攻撃のリスクを高めます。Falcon Insightのリモート ライブ ターミナルはCrowdStrikeが定義するコマンドしかサポートしないため、機能に制約があります。これに対して、Cortex XDRには任意のエンドポイントで多様なアクションを実行できる包括的なライブ ターミナルが搭載されています。また、Falcon Insightがインシデント復旧提案の一部しか自動化できないのに対し、Cortex XDRは疑わしい因果関係チェーンとインシデントの自動調査を全エンドポイントで実施した上で、選択したエンドポイントでプロセス、ファイル、レジストリ キーを修復するための推奨アクションの一覧を表示します。
インシデント レスポンス時間を更に短縮するため、Cortex XDRはアラートからインシデントへのグループ化、脅威モデリング、完全なコンテキストの収集、時系列と攻撃シーケンスの作成を行い、攻撃の根本原因と影響を解明します。顧客調査によると、Cortex XDRはセキュリティ アラートの98%以上削減*と、調査時間の88%短縮**を実現しています。Cortex XDRは次の2つの機能によって、調査とレスポンスを高速化します。
* Cortex XDRの顧客環境の分析に基づく。
** パロアルトネットワークスのSOC分析によると、調査時間が40分から5分に短縮。
- イベントの関連付けを行い、関連アラートをインシデントにグループ化するインシデント管理機能。トリアージの簡略化に有効。
- 迅速なインシデント復旧を可能にする、ワンクリック修復。
CrowdStrikeのインターフェイスは分断されており、大企業向けには不適
エンドポイントを除くと、CrowdStrikeのデータ統合はCrowdXDR Allianceパートナーとの双方向の統合に限られます。例として、SOCアナリストが実行可能な全アクションを集めた一元的なアクション センターがCrowdStrike Falcon Insight XDRにはありません。また、クラウド上での無制限のデータ保持という欠かせない機能もありません。加えて、LinuxとmacOSでのオンデマンド スキャンに対応しておらず、Linuxに潜むマルウェアの検出とアタックサーフェスの縮小をスキャンに依存している顧客を軽視しています。
これに対して、Cortex XDRの脆弱性評価機能とアイデンティティ分析機能はパートナーシップや専用の接続モジュールを必要としません。この特徴を利用して以下の処理を行うことで、成長を続ける組織のニーズに合わせたよりオープンかつ柔軟なサードパーティ統合を可能にします。
- 多数のソースからsyslogやHTTPなどの標準フォーマットでデータを取得し、対応付けを行ってから利用。
- このデータを基に、XDRアラートをインシデントの一部として生成することで、組織全体を迅速に可視化。
- Linux環境やmacOS環境でのフルディスク スキャンを実施。
| 製品 | CrowdStrike | Cortex XDR |
|---|---|---|
| 最良の防御? データは嘘をつかない。 | 完璧とは言えない防御
| 業界をリードする100%の脅威防御率。
|
|
| |
|
| |
|
| |
|
| |
| ||
| 歴然とした検出能力の差 | エコシステム全体をサポートできない
| 分析ベースの検出が高い成果をもたらす。
|
|
| |
|
| |
| ||
| 高速かつより完全な調査とレスポンス | 手作業による遅延が発生。
| 自動化で素早く成果を上げる。
|
|
| |
|
| |
|
| |
| ||
| ||
| 大企業のニーズに適合。カスタマイズ性。常に進化 | 画一的。全ユーザーのニーズは満たせない。
| 最適な形にカスタマイズ。
|
|
| |
|
| |
|
|
現在のエンドポイント セキュリティ ソリューションで十分ですか?
MITRE ATT&CK®評価で、Cortex XDRはCrowdStrikeを一貫して上回る成績を残しました
MITRE ATT&CK Evaluationsの第4ラウンドにおいて、Cortex XDRは攻撃サブステップの97%以上を「テクニックレベルの分析的検出」で識別しました。CrowdStrikeの場合この値は71%です。テクニックレベルの検出は、攻撃の種類・目的・手口の把握に必要な情報とコンテキストを漏れなく提供し、セキュリティ アナリストが脅威へのアクションと復旧を行えるようにするため、ソリューションの能力を計る絶対的な基準と言えます。Cortex XDRは攻撃を初期段階で阻止できるように優れたインテリジェンスをアナリストに提供します。
エンドポイント セキュリティ プロバイダに要求すべきこと。それは、あらゆる攻撃の戦術とテクニックを阻止する能力を持つことで、阻止できたはずのアラートやインシデント、発生しうる侵害によってSOCチームが過負荷状態に陥らないようにすることです。
さらなる証拠が必要ですか?
以下の資料をお確かめください。ですが、エンドポイント セキュリティとSOCの生産性を左右する問題ですので、迅速な決断を。
