XDR은 "Extended Detection and Response"로서의 의미로 정의하고 있지만, 이번 발표에서는 "Cross-Layered Detection and Response"측면에서의 XDR의 특성을 강조하고자 합니다. 단순히 엔드포인트와 SIEM, SOAR 등을 연동하는 EDR의 확장된 측면이 아닌, 엔드포인트와 서버 워크로드, 이메일, 네트워크, OT 등 다양한 계층에서 텔레메트리를 흡수하고, 인시던트에 대한 각 계층 간의 상관계와 전체적인 위협 스토리를 직관적으로 제공하는 것이 XDR의 진정한 강점이자 장점이라고 볼 수 있습니다. 또한 PlayBook 등을 활용한 자동화된 대응과 노이즈 필터링을 통한 순도 높은 우선순위의 경고를 제공할 수 있는 XDR의 다양한 기능들을 살펴봅니다." /> XDR은 "Extended Detection and Response"로서의 의미로 정의하고 있지만, 이번 발표에서는 "Cross-Layered Detection and Response"측면에서의 XDR의 특성을 강조하고자 합니다. 단순히 엔드포인트와 SIEM, SOAR 등을 연동하는 EDR의 확장된 측면이 아닌, 엔드포인트와 서버 워크로드, 이메일, 네트워크, OT 등 다양한 계층에서 텔레메트리를 흡수하고, 인시던트에 대한 각 계층 간의 상관계와 전체적인 위협 스토리를 직관적으로 제공하는 것이 XDR의 진정한 강점이자 장점이라고 볼 수 있습니다. 또한 PlayBook 등을 활용한 자동화된 대응과 노이즈 필터링을 통한 순도 높은 우선순위의 경고를 제공할 수 있는 XDR의 다양한 기능들을 살펴봅니다.">
가트너에서는 XDR을 "여러 보안 제품을 응집력 있는 보안 운영 시스템에 통합하는 SaaS 기반의 vendor-specific 보안 위협 탐지 및 사고 대응 도구이다"라고 정의한 바 있습니다.
XDR은 "Extended Detection and Response"로서의 의미로 정의하고 있지만, 이번 발표에서는 "Cross-Layered Detection and Response"측면에서의 XDR의 특성을 강조하고자 합니다. 단순히 엔드포인트와 SIEM, SOAR 등을 연동하는 EDR의 확장된 측면이 아닌, 엔드포인트와 서버 워크로드, 이메일, 네트워크, OT 등 다양한 계층에서 텔레메트리를 흡수하고, 인시던트에 대한 각 계층 간의 상관계와 전체적인 위협 스토리를 직관적으로 제공하는 것이 XDR의 진정한 강점이자 장점이라고 볼 수 있습니다. 또한 PlayBook 등을 활용한 자동화된 대응과 노이즈 필터링을 통한 순도 높은 우선순위의 경고를 제공할 수 있는 XDR의 다양한 기능들을 살펴봅니다.
트렌드마이크로의 XDR서비스는 Trend Micro Vision OneTM 플랫폼을 통하여 제공되며, VisionOne에는 XDR 외에도 Zero Trust, 모바일 보안 등의 다양한 보안모듈이 포함되고 있다. Vision One은 엔드포인트, 서버, 이메일, 클라우드 워크로드와 네트워크 계층에서 텔레메트리(Telemetry)를 통해 활동데이터를 수집하고, 상관관계를 분석하여 고급 XDR 기능을 제공한다. 각 텔레메트리(Telemetry)에서 수집된 탐지로그와 활동데이터를 AI/머신러닝 기반의 필터링 및 상관관계 분석을 통해 최종적으로 TTP 기반의 고순도(high fidelity) Alert를 생성하여 SOC에서 전체 공격 전반에 대해 이해하고 정확한 대응을 할 수 있도록 정보를 제공한다. Vision One은 MITRE ATT&CK에서 정의한 TTP(Tactic, Technique and Procedure) 기반의 약 200여개 이상의 탐지모델(Detection Model)을 가지고 있다. 탐지모델에 의해 발견된 인시던트는 엔드포인트, 서버, C&C주소, 웹링크, 이메일 메시지, 실행된 파일과 명령어 등 각 객체들과 이들의 상관관계를 도식화하여 표현한다. MITRE TTP 모델링 이벤트를 클릭하면 해당 이벤트와 관련된 객체들이 하이라이트되며, 위협 객체의 식별을 용이하게 한다.
인시던트의 탐지 및 알람, 상관관계 분석에 이은 대응(Response)으로는 파일 수집, 샌드박스 분석, Custom Script 배포, 원격 셀 접속, 파일 실행 차단, 주소 접속 차단, 엔드포인트 격리 등의 다양한 방식을 제공한다. 위협 레벨에 따라서 일부 대응 기능은 자동으로 동작하도록 관리자가 선택할 수 있다.
트렌드마이크로 자체 위협 인텔리전스 뿐만 아니라 다양한 외부 소스로부터 IOC를 취합하고, 조직 내 모든 벡터에서의 Sweeping을 자동으로 수행하여 존재할 수 있는 최신의 위협을 탐지해낸다. Splunk, QRader 등 다양한 Third-Party 솔루션과의 연동을 통해 유연한 확장성을 제공하며, REST API를 제공하여 Vision One에서 수집된 활동 데이터와 탐지된 인시던트를 손쉽게 Third-Party 솔루션으로 공유하도록 한다.
시장조사기관 포레스터 리서치(Forrester Research)가 발간한 ‘2021년 4분기 포레스터 뉴 웨이브: 교차 계층 탐지 및 대응 서비스 공급업체(The Forrester New Wave™: Extended Detection and Response (XDR) Providers, Q4 2021)’ 보고서에서 트렌드마이크로의 XDR은 가장 높은 점수를 받으며 1위 리더로 선정됐다고 밝혔다. 또한 트렌드마이크로의 XDR은 마이터 엔제뉴이티(MITRE Engenuity)가 실시한 최신 사이버 보안 평가에서 자사의 XDR 서비스 플랫폼, ‘트렌드마이크로 Vison One’이 높은 탐지율을 기록하며 우수한 평가를 받았다. Vision On은 MITRE ATT&CK 평가의 위협적인 두 APT 그룹(Carbanak & FIN7)의 공격 패턴을 모방한 시뮬레이션에서 96%의 공격을 신속하게 방어하고, 특히 리눅스 호스트 공격은 100% 완벽하게 탐지했다.
전화 : 821025688355
이메일 : lisa_j_trendmicro.com
홈페이지 : https://www.trendmicro.com/ko_kr/business/products/detection-response/xdr.html