NDR Essentials について

NDR Essentials はクラウドホスト型の NDR ソリューションで、ファイアウォールと直接連係して動作します。高度な機械学習を使用して、ファイアウォールのパフォーマンスに影響を与えることなく、リアルタイムで脅威を検出します。NDR Essentials は、既存のファイアウォール保護に加える形で、追加のセキュリティレイヤーとして使用します。

NDR Essentials の仕組み

Sophos Firewall は、TLS で暗号化されたトラフィックおよび DNS クエリからメタデータを取得し、その情報を Sophos Cloud の NDR Essentials サービスに送信します。その後、複数の AI エンジンを使ってこのデータを分析し、脅威を検出します。

この方法によって、TLS の復号化を完全に行うことなく、暗号化されたまま悪意のあるペイロードを識別することが可能となります。また、アルゴリズムによって生成された新しい不審なドメイン名を、ネットワーク上のシステム侵害インジケータとして検出します。

メタデータの抽出は、Sophos XGS シリーズファイアウォールの FastPath アーキテクチャに搭載されている軽量エンジンによって実行されます。このような仕組みにより、ファイアウォールのパフォーマンスに影響を与えることなく、NDR Essentials の分析を実行することができます。

Sophos NDR Essentials では、検出項目に対してリスクスコア (最低の 6 から最高の 10 まで) が割り当てられます。ご利用の環境に応じて、警告を発動するリスクスコアの値をカスタマイズできます。デフォルトの推奨設定は、「リスク - 高 (スコア 9、10) - 推奨」です。

スコアが 6 以上の IoC (不正のインジケータ) については、ファイアウォールに記録が保存されます。スコアが 6 未満の場合、ほとんどが正常または誤検出であるため、IoC の記録は保存されません。

まず、ファイアウォールがクラウドの NDR Essentials に対して、解析リクエストを送信します。NDR Essentials によって宛先が IoC として識別されると、ファイアウォールがその宛先を脅威フィードに追加します。また、これらの IoC に関連する後続のリクエストをログに記録し、次の処理を行います。

• ログの生成
• メールで通知
• ローカルレポートおよび Sophos Central レポートの作成 (Central Firewall のレポート作成機能)

脅威ログを表示する

高度な脅威対応ログを表示するには、「ログビューア」をクリックし、アクティブな脅威対応 を選択します。

以下の例は、NDR Essentials によって検出され、ログに記録された脅威を示しています。

追加の詳細を表示するには、詳細ビューをクリックします。

各 NDR ログエントリには、検出された脅威の重要度を示す脅威スコアが含まれています。これらのスコアを確認することで、検出およびログ記録のための最小脅威スコアのしきい値を調整するかどうかを判断するのに役立ちます。たとえば、高リスクのイベントのみに焦点を当てることを選択できます。

有効時間

すべての IoC には、有効時間 (TTL) があります。TTL が期限切れの IoC 項目をクリーンアップするジョブが毎日実行されます。

NDR のサマリーウィジェットで、IoC の数を確認できます。詳細は、サマリーを参照してください。この数は、期限切れの TTL を反映し、毎日更新されます。期限切れの IoC は削除されます。