Alibaba Cloud Network Detection and Response (NDR) は、パブリッククラウド向けのクラウドネイティブな NDR プロダクトです。導入が容易で、デプロイメント不要、ワンクリックでの有効化により、脅威を迅速に検出できます。
クラウドネイティブ NDR と従来型・オープンソース NDR の比較
特徴 | Alibaba Cloud Network Detection and Response (NDR) | 従来型商用 NDR | オープンソース NDR |
導入速度 | 高速 数分以内 | 導入に時間がかかる 基盤リソースのプロビジョニングが必要 | 比較的高速 構成が複雑 |
コスト効率性 | 高い SaaS サブスクリプション、CAPEX が低減 | 中程度 CAPEX および OPEX が高額 | 中程度 追加インフラストラクチャ費用、OPEX が高額 |
運用効率性 | 高い ネイティブ統合 | 中程度 別途購入が必要、IT リソースを消費 | 低い カスタム開発が必要 |
保守およびアップデート | リアルタイム 数分以内 | 自動 ベンダー依存 | 手動 コミュニティ依存 |
柔軟性およびスケーラビリティ | 弾力的 従量課金 (PAYG) | 低い 追加ライセンスの購入が必要 | 手動 自己管理 |
手軽なデプロイメントとワンクリック有効化
ゼロデプロイメント、ワンクリックアクセス: 複雑なトラフィック転送構成を回避します。このモデルにより、運用オーバーヘッドが大幅に削減され、多様なアクセス要件にも対応可能です。
非侵襲的な帯域外デプロイメント: ネットワークアーキテクチャを問わず、ご利用のクラウド資産を自動的に検出し、同期します。ビジネス運用への影響を一切与えずに、必要に応じてサービスを即座に有効化できます。
東西方向トラフィック検知: プライベートネットワーク内のトラフィックを監視し、横向きの脅威移動や機密データの不正転送を検出します。これにより、侵害された資産を迅速に特定し、内部ネットワークのセキュリティを強化できます。
攻撃トラフィックの自動保持および取得
攻撃トラフィックの自動保持: 攻撃イベントに関連するトラフィック(攻撃発生前後を含む)を自動的にキャプチャおよび保存します。この保持サイズはフルトラフィックログのわずか 1/10,000 であり、ストレージコストを大幅に削減しつつ、データ保持要件を満たします。
コア資産向けのカスタマイズ可能なトラフィック保持: カスタムフィルタリングルールを定義して特定トラフィックを保持することで、コストを削減しながらコンプライアンスおよび監査要件を満たします。この機能はフォレンジック分析の証拠を提供し、セキュリティチームによるインシデント対応を加速します。
高性能なトラフィック検索: 先進的な BPF ベースの検索エンジンを用いて、3 億件のログを 10 秒未満で検索できます。攻撃ペイロードをオンラインで分析し、コンソールから直接 PCAP ファイルを生成します。これにより、反復的なダウンロードが不要となり、クエリ応答時間を劇的に短縮します。
包括的な脅威検知およびマルチエンジン分析
双方向・非同期の脅威検知: リクエストおよび応答トラフィックの両方を分析することで、リモートコード実行 (RCE)、SQL インジェクション (SQLi)、ローカルファイルインクルージョン (LFI) などの攻撃をより正確に確認できます。この機能により、高度な脅威への対応が強化され、トラフィック分析における盲点が解消され、誤検知が大幅に削減され、セキュリティ運用チームのワークロードも軽減されます。
マルチエンジン相関分析: シグネチャベースのルール、脅威インテリジェンス、ファイルサンドボックス、行動分析、エクスポージャー分析など、複数の検知エンジンからの洞察を統合します。システムはアラートをタイムライン上に表示し、異常および関連する脅威イベントを迅速に特定できるように支援します。この統合型アプローチにより、より広範な脅威をカバーし、運用効率を向上させ、インシデント対応を加速します。
ATT&CK フレームワークによる攻撃意図の特定: 攻撃者の手法およびツールを理解することで、侵入経路を特定し、攻撃目的を明確化できます。これにより、セキュリティチームはシステムの脆弱性を迅速に特定し、パッチ適用の優先順位付け、ファイアウォールポリシーの最適化、公開されたサービスの停止などを実施できます。収集された証拠は、攻撃者に対する法的措置の裏付けとしても活用可能です。
包括的な資産マッピングおよび文脈認識型リスク管理
文脈認識型資産エクスポージャー分析: 公開資産のエクスポージャーは、しばしば悪用および規制当局による罰則の原因となります。Network Detection and Response (NDR) は、ご利用のクラウド資産上で実行中のビジネステンプレートを自動的に特定し、外部への露出状況を正確にマッピングすることで盲点を明らかにします。また、脆弱なポートの公開や弱いパスワードの使用など、日々発生するリスクを継続的に検出します。
機密データのエクスポージャーリスク管理: NDR はトラフィック分析を用いて、サービス内における機密データのエクスポージャーリスクを検出します。リスクのある資産を特定し、潜在的なデータ侵害を評価します。これにより、ビジネス上重要な資産に関するセキュリティチームのリスク管理が合理化されます。
プロトコルログの取得、フィルタリングおよび配信
プロトコルログの取得: HTTP、DNS、TLS などのレイヤー 7 プロトコルログおよび 5 次元ルールログを取得します。本サービスは、解析ソフトウェアのインストールを必要とせず、生ログから詳細なフィールドおよびペイロード情報を抽出します。これにより、コンプライアンスおよび規制要件を満たすために、異常なトラフィック動作を視覚的にトレースできます。
プロトコルログのフィルタリング: コアビジネスサービス向けにデータ収集をカスタマイズするために、必要に応じてプロトコルログをフィルタリングおよび保持できます。多数のログタイプから選択でき、5 次元ルールのフィルター条件を適用可能です。この柔軟性により、ログ分析およびストレージコストが大幅に削減され、運用効率が向上します。
プロトコルログの配信: ログをニアリアルタイムで配信します。配信対象のログフィールドをカスタマイズしたり、データ保持期間を定義したりできます。