Cisco XDRを触ってみた。

はじめに、Cisco XDRとは？

XDR とは、「Extended Detection and Response」の略称です。XDRの定義や解釈にはベンダーによって振れ幅がありますが、Cisco XDRではセキュリティオペレーションにおけるビジネスニーズの観点からXDRに求められる要素を以下のように定めています。

1.早期の検出

2.インパクトの優先付け

3.調査時間の短縮　

4.レスポンスの加速、自動化

5.資産の可視化

上記の求められる要素に基づいてCisco XDRではインシデント生成、調査、レスポンスの自動化、アセット可視化などの機能が実装されています。今回はこれらの機能を実際に試してみた結果をお伝えします。

インシデントの生成

インシデントの生成はCisco XDRの肝となる機能です。Cisco XDRでは様々なセキュリティ製品からログやテレメトリを取り込んでAI、MLを活用した分析を実施しインシデントを生成します。インシデントは検出リスク（最大100）と資産価値(最大10)を掛け合わせたリスクスコア（最大1000）によってインパクトの優先付けがされています。以下の図ではAttack Chain 2がリスクスコア1000で最も優先的に対応すべきインシデントとなっています。(図1)

インシデントを展開するとインシデントに紐づけられた一連のセキュリティイベントや使用されたMITRE Tactics、関連するアセットやファイル、URLなどの相関図などが確認できます。また、Cisco製品だけではなくサードパーティ製品からのセキュリティイベントも含めたインシデントが生成できる点もCisco XDRの特徴となっています。今回、特定の端末でポートスキャンやUACのBypassなど各種攻撃を実施してみましたが、それらが一連のAttack Chainとして検出されることが確認できました。（図2）