1.NDR
1.1 概要
・NDR(Network Detection and Response)
・Darktraceなどが有名。他にはVectra AI
・基本的にはパケットのヘッダ(5カラム)で見る。パケットの中身は見ない。※そもそも最近はHTTPSでの暗号化通信が多いが。
・検知だけでなく、NW機器と連携して遮断もできる。
・パケットを見る場合、NDRはネットワーク機器のミラーポートからパケットを収集する
1.2 機能
・情報の収集
・パケットの解析(振る舞い含めて)
・NW機器と連携して遮断
・SIEM等へのログの送信
・アラート送信
1.3 構成
・コアスイッチのミラーポートに設置する。 インラインには設定ではない。→RSTパケットでの防御はできる?(★要確認)
・ログ:別途管理用のサーバに腹持ちする。すべてのトラフィックではなく、サマリーというか統計情報だけを持つので、1年くらいのログはゆうに保存できる。
→工場や拠点がたくさんあっても、インターネットが本社からであれば、1台でカバーも可能。これがEDRに比べたメリット
1.4 検知ロジック
・ブラックリストでIPアドレス、ドメイン、URLでフィルタをする。ただ、実行上はIPアドレスベースでの検知になりそう。URLまで見ることは少ないのと、IPAも言っているが、ドメインは1日で捨てられることが多く、信頼性が高くない。ドメインFluxみたいな攻撃もあるし。
・IPベースなので、SSLインスペクションは不要
・パケットの中身は見ない。
1.5 製品例
(1)Darktrace
https://www.lanscope.jp/professional-service/service/product/darktrace/
・NDR市場では、DartTraceが第一人者
・AIを使っているのが特徴だが、誤検知にもつながる。
・ライセンス形態次第で、高くなったり安くなったり
(2)Netscout OCI
https://www.toyo.co.jp/slc/products/detail/netscout_oci/
・価格は結構高い。1000万はゆうに超える金額規模になるだろう。
・価格の構成としては、以下。
・アプライアンス:パケット装置 ※10GI/F x 4
・アプライアンス:管理サーバ ※最大10ポート管理、または5ポート管理。ソフトウェア提供も可能
・上記保守価格
・Sevirityがあって7以上は要注意となる。
1.6 EDRとの比較
| 項目 | NDR(NetworkDetectionandResponse) | EDR(EndpointDetectionandResponse) |
|---|---|---|
| 導入対象 | ネットワーク全体(スイッチのミラーポートなど) | エンドポイント端末(PCやサーバ) |
| 導入方式 | エージェントレス(パッシブ監視) | エージェント型(端末にソフトをインストール) |
| 検知対象 | 通信挙動、外部との通信、L3-L7トラフィック | プロセス、ファイル、メモリ、レジストリの挙動 |
| 対応 | 困難(一部、NW機器と連携して可能) | 端末隔離、プロセス停止などの直接対応が可能 |
| 導入の難易度 | ◎ 基本的には置いてミラーポートの設定だけ |
△ エージェントの一斉配布が必要 |
| メリット | ネットワーク全体を可視化可能 ・エージェント不要 |
・端末の詳細な操作監視が可能 ・プロセス停止など能動的対応ができる |
| デメリット | ・暗号化通信の中身は不可視 ・端末の詳細操作までは取得できない ・ふるまい検知なので誤検知が多い |
導入したPCだけ可視化、対処可能 基本的にはインターネットへの通信が必要で、クローズドなネットワークで導入できない |
1.7 運用
・IPアドレスのブラックリストでの検知であれば誤検知は少ないだろうが、振る舞いを見る場合誤検知が多くなります。なので、運用をどうするか。誰が運用するのか、外部に任せるのか、運用は持つのかなど、事前に評価が必要だと思います。
