Cato SASE XDRについて
本記事は Cato SASE Cloud の XDR(Extended Detection and Response) に関して記載した記事となります。
XDRとは一般的に、EDRやSASE、SIEMといった様々なセキュリティコンポーネントのデータ/アラートを統合、
コンテキスト化することで、既存ソリューションの運用負荷を軽減させることが可能なソリューションを指します。
CatoのXDRにおいては、高度な相関エンジンを用いてCato経由のトラフィックを分析し、
潜在的な脅威が確認された場合、Detection & ResponseにStoryが生成されます。
Storyに関する詳細は、こちらをご参照ください。
[Cato SASE XDR の特徴]
- 展開
- CatoのSASE基盤がセンサーになるため、Catoのネットワークを構築後すぐに利用可能
- データ品質
- 複数の情報をシングルコンテキストで解析可能
- 調査および対応
- 複数の対応アクションを持つ単一プラットフォームで効率的な調査および対応が可能
[検知ストーリーのカテゴリと対応ライセンス]
Cato XDRとして検知されるカテゴリは以下のとおりです。
- Threat Prevention
- IPSによる脅威トラフィックの検知
- Threat Hunting
- シグネチャレスの脅威やゼロデイ攻撃を相関分析によって検知
- Usage Anomaly
- 異常なApplicationの利用状況による検知
例:通常よりも多くのアップロードトラフィックを検知
- 異常なApplicationの利用状況による検知
- Events Anomoly
- 異常な数のEventsログを検出
- Network XDR
- 接続性の低下や切断といったネットワークの問題を検知
- Entra Identity Alert
- Microsoft Entra IDから連携されたアラートをもとに生成
別途、MicrosoftとCatoとの接続が必要です。
詳細はこちらをご参照ください。
- Microsoft Entra IDから連携されたアラートをもとに生成
また、カテゴリごとに利用可能なライセンスは以下のとおりです。
- XDR Core(デフォルトで利用可能)
- Threat Prevention
- Network XDR
- Entra Identity Alert
- XDR Pro(セキュリティオプションライセンス)
- Threat Prevention
- Threat Hunnting
- Usage Anomaly
- Events Anomaly
- Network XDR
- Entra Identity Alert
- Cato MDRサービス(セキュリティオプションライセンス)
- Cato社エキスパートによるSOCサービス
- XDR Proライセンスが必要
※Network XDRを除く
ライセンスに関する詳細は、こちらをご参照ください。
※上記情報は本記事公開時点の情報となり、今後変更される可能性があります。
本機能の閲覧方法や詳細な機能に関する説明は下記サポートサイトに記載されています。
Cato SASE XDRについて
補足
本記事は下記KBを参考に作成されています。
Reviewing Detection & Response (XDR) Stories for Your Account
Using the Indications Catalog
Muting Detection & Response (XDR) Stories
Creating the Response Policy for XDR Stories
キーワード検索
