ログ解析でサイバー攻撃の全体像を可視化し、攻撃を阻止
「Cybereason XDR」

（1）第三者機関最高評価、シェアNo.1^※1 のEDR検知能力がベース

XDRで集約する外部データソースはSyslogやAPI経由で取得するため、どのXDRベンダーも同じデータを取得することが想定されます。
しかし、攻撃者の最終目的は情報資産が保存されているエンドポイント（端末、サーバー）であるため、エンドポイント上の攻撃を的確に検知できなければ、被害が拡大する恐れがあります。

エンドポイントの情報資産を保護するためには、「EDRの高い検知能力」を根幹とし、そのEDRと相関解析するXDRおよび監視サービスで運用することが不可欠です。
サイバーリーズンのXDRは、第三者機関から最高評価を受けたEDRの検知能力を基盤に、エンドポイントだけでなく、あらゆる外部データソースを収集し、脅威の洗い出しを行い、横断的に相関分析を実施します。

（2）国防/軍事レベルのノウハウをXDRに組み込み

CybereasonのXDRは、国防や軍事レベルの知見をロジックに反映しており、MDR（Managed Detection and Response）にはIDF（イスラエル国防軍）やNSA（アメリカ国家安全保障局）で勤務していたメンバーが在籍しています。このメンバーはセキュリティ業務の豊富な経験を持ち、全員が日本語に堪能な人材で、日本のSOC（セキュリティオペレーションセンター）体制を構築し、MDRサービスを提供します。

さらに、脅威インテリジェンスチームには元8200部隊の出身者が在籍しており、高度かつ高品質なセキュリティサービスを提供します。

お客様の攻撃対象領域をCybereasonで集約し、効率的に保護することが可能です。保護対象領域はエンドポイントから、IDaaS、クラウド、ネットワーク、CASB/SASEへと拡張予定です。

（3）ベンダーロックインのないオープンなXDR

XDRには、単一ベンダーが提供するベンダーロックイン型の「ネイティブXDR」、マルチベンダーのデータソースを柔軟に取り込むことができる「オープンXDR」の2種類と、それらの中間にあたる「ハイブリッドXDR」があります。Cybereason XDRは、ベンダーロックインのない「オープンXDR」に分類されます。

「Cybereason XDR」は、エンドポイントセキュリティをA社、ネットワークセキュリティをB社といった形で、マルチベンダーでセキュリティを導入している企業に最適です。

（1）さまざまなソリューションとの連携

さまざまなベンダーのセキュリティソリューションと連携し、ベンダーロックインのないオープンなプラットフォームを提供します。これにより、エンドポイント、ネットワーク、クラウド、アイデンティティ、ワークスペースなど、さまざまなデータソースからログを収集することが可能です。

Cybereason XDRインテグレーション製品（2025年3月現在）

ワークスペース

• Microsoft 365
• Google Workspace
• Google Workspace Alerts

モバイル

• Cybereason MTD
• Zimperium MTD

ID

• Microsoft Active Directory
• Microsoft Azure AD Audit
• Microsoft Azure AD Context
• Microsoft Azure AD Sign-Ins
• Okta Audit

クラウド

• AWS Cloud Trail
• Microsoft Azure Active Log
• Box Log
• Netskope SSE
• Cato Cloud
• Paloalto Prisma
• Cisco Umbrella
• Zscaler Internet Access

セキュリティネットワーク

• Cisco ASA Meraki
• Paloalto NGFW
• Fortinet FortiGate
• Zscaler Private Access

（2）相関分析

「Cybereason XDR」の分析モデルはピラミッド構成になっており、Tier 1からTier 4を経て相関分析を行い、関連する複数の脅威を1つの攻撃ストーリーとして集約した「MalOp ^※2」を可視化します。

• Tier 1～Tier 2

  「Cybereason XDR」が接続先のインテグレーション製品からデータを取り込む時点では、そのデータには数多くのイベント情報が含まれています。これらのイベント情報の多くは、ユーザーの作成、ユーザーのログイン、パスワードの更新といった単体のイベント情報であり、不審な情報かどうかは判別がつきません。

• Tier 3～Tier 4

  「Cybereason XDR」にてデータを取り込んだ後は、イベント情報を自動で相関分析し、不審と思われるイベントを独自の検知ロジックで特定します。特定されたイベントには、MITRE ATT&CKの戦術、手法、サブ手法などの追加情報による精度の高い分析が実行されます。

（3）検知

「Cybereason XDR」は、MITRE ATT&CKで最高評価を受けた「Cybereason EDR」の検知能力を基盤に、広範囲にわたる高度な攻撃の調査を自動化します。さまざまなソースからデータを取り込み、解析し、独自の検知ルールを使用して潜在的なアクティビティや悪意のあるアクティビティを特定します。
これにより、ユーザーログオンやネットワークアクセスなどのイベントを基に、不審な活動や攻撃パターンを検知することが可能です。

「Cybereason XDR」ダッシュボードでは検知したデータソースやアラート、MalOpの状態を直感的に把握することが可能です。アナリストの作業効率向上もはかれます。

「Cybereason XDR」はベンダーロックインのないオープンXDRであるため、外部データソースから検出した脅威と収集した外部データソースのアラートを不審なイベント一覧で表示が可能です。MalOp一覧では、攻撃の一連の流れが可視化されます。

（4）対処

「Cybereason XDR」は、複数の不審なイベントから悪意のある振る舞いを検知し、XDR MalOpを生成します。特定された問題に対処するためのアクションは以下の通りです。

• 推奨アクションの表示：連携されたデータソースを通じて、実行すべきアクションとターゲットを表示します
• 攻撃の緩和：推奨されるワークフローに従い、脅威に即座に対応して拡散を阻止します
• 自動作成と調整：攻撃フェーズやMITREの戦術に基づき、推奨事項を自動的に作成します
• 具体的な対応アイテム：パスワードのリセット、ソースIPベースの認証ブロック、アクティブセッションの切断などが可能です

これにより、迅速かつ効果的に対応を拡大し、対応時間を短縮することが可能です。

（5）Managed XDRによる監視

運用開始後は、サイバーリーズン社の専門アナリストが24時間365日の監視・調査・対処を行います。Managed XDRにて、重要度に応じたアラートをお客様に通知します。緊急度の高いアラート通知の場合でも、アナリストによる分析結果と推奨対策をご提案し、対処いたします。