EDRアラート分析にZero Trust・SASE領域のログを組み合わせ、AI-XDR型セキュリティ運用の実現に向けた機能開発を推進
株式会社サイバーセキュリティ総研は、AIを活用したSOC/MDR運用支援サービス「FastTriage」において、Cloudflare Oneのログを取り込み、AIによる分析対象に加えるための連携対応を開始したことをお知らせします。
FastTriageはこれまで、SentinelOneやWindowsDefenderをはじめとするEDR製品のアラートに対し、AIエージェントが検知内容の要約、脅威度の判定、影響範囲の整理、推奨対応の提示を行うことで、SOC運用の迅速化と効率化を支援してきました。
今回、Cloudflare OneのログをFastTriageに取り込むための基本的な連携機能を実装したことで、EDRによる端末上の検知情報に加え、Zero Trustアクセス、Gateway、DNS、HTTP通信などのログを組み合わせた分析の第一段階が可能になりました。
当社では今後、Cloudflare Oneとの連携機能をさらに高度化し、EDR・ID・ネットワーク・Webアクセスを横断的に分析するAI-XDR型のセキュリティ運用基盤として、FastTriageの機能拡張を進めてまいります。
背景:EDRだけでは見えにくい「通信」と「アクセス経路」
近年のサイバー攻撃では、端末への侵入だけでなく、認証情報の悪用、不審な外部通信、クラウドサービスへのアクセス、リモートアクセス経路の悪用など、複数の経路を組み合わせた攻撃が増加しています。
EDRは端末上のプロセス挙動やマルウェア検知に強みを持つ一方で、ユーザーがどの経路からアクセスしたのか、端末がどの外部サービスと通信したのか、Zero TrustやSASE基盤上でどのような制御・検知が行われたのかについては、別のログを確認する必要があります。
そのため実際のSOC運用では、EDRアラートを起点に、Zero Trustアクセスログ、Gatewayログ、DNSログ、HTTP通信ログ、IDログなどを突き合わせ、攻撃の全体像を把握する作業が発生します。
当社では、こうしたログ横断の確認作業をAIによって効率化するため、FastTriageの分析対象をEDRアラートに限定せず、Cloudflare Oneをはじめとした外部ログも取り込めるAI-SOC基盤として拡張を進めています。
Cloudflare Oneログ連携の概要
今回の対応により、FastTriageではCloudflare Oneから取得されるログを取り込み、EDRアラートと関連付けて分析するための基本機能を実装しました。
主な活用対象として、以下のようなログ連携を想定しています。
- Cloudflare GatewayのDNSログによる不審ドメインへの問い合わせ確認
- Cloudflare GatewayのHTTPログによる外部通信・Webアクセスの確認
- Zero Trustアクセスログによるユーザー、端末、接続経路の確認
- アクセス元IP、ユーザー、端末、宛先ドメイン、URLを用いた相関分析
- EDRアラート発生端末に関連する通信履歴の確認
- 同一通信先にアクセスした他端末の有無の確認
現時点では、Cloudflare OneのログをFastTriage側に取り込み、AIによる確認・要約・初期分析を行う基本的な連携が中心となります。
今後は、EDRアラートとの自動相関、リスクスコアリング、攻撃シナリオの推定、推奨対応の高度化、Cloudflare One側での制御アクションとの連携など、より実運用に即した機能開発を進めていく予定です。
FastTriageが目指すAI-XDR型運用
FastTriageは、EDRアラートのAI分析を起点としながら、複数のセキュリティログを横断的に読み解くAI-XDR型の運用基盤を目指しています。
例えば、EDRで端末上の不審な挙動を検知した際に、Cloudflare One側のログを確認することで、以下のような追加分析が可能になります。
- 該当端末が不審なドメインへアクセスしていないか
- 同一ユーザーに関連する不審なアクセスが発生していないか
- 同じ通信先へ他の端末もアクセスしていないか
- Gateway側でブロックまたは警告された通信がないか
- Zero Trustアクセスの経路上に不審な接続元や端末が存在しないか
- EDRアラートと通信ログを組み合わせた場合に、攻撃の可能性が高まるか
これにより、単一のEDRアラートだけでは判断が難しい事象についても、端末・ユーザー・通信・アクセス経路を組み合わせて確認しやすくなります。
今後の開発予定
当社では、Cloudflare Oneログ連携をFastTriageのAI-XDR化に向けた重要な第一歩と位置づけています。
今後は、以下のような機能開発を進めていく予定です。
- EDRアラートとCloudflare Oneログの自動相関分析
- ユーザー、端末、IPアドレス、ドメイン、URLを軸にした関連イベントの抽出
- AIによる攻撃シナリオの推定
- リスクスコアリングによる対応優先度の提示
- 推奨対応の自動生成
- Cloudflare One側でのブロック、ポリシー制御、アクセス制御との連携
- SentinelOne、Microsoft Entra ID、Microsoft Defender for Endpoint、Fortinet、Palo Alto Networks、Ciscoなど他製品との連携拡張
これにより、FastTriageはEDRアラートの単独分析にとどまらず、ID、ネットワーク、クラウド、Webアクセスを横断的に分析するセキュリティ運用基盤へと進化していきます。
代表コメント
株式会社サイバーセキュリティ総研
代表取締役 山口 啓
「これまでFastTriageは、SentinelOne、WindowsDefenderをはじめとするEDRアラートの分析をAIで高速化することに注力してきました。しかし、実際の攻撃対応では、端末上の挙動だけでなく、その端末がどこへ通信していたのか、どのユーザーがどの経路でアクセスしていたのか、他の端末にも同様の兆候がないかを確認する必要があります。
今回、Cloudflare Oneのログ取り込みに対応したことで、FastTriageはEDR中心のAI分析から、Zero Trust・SASE領域のログも活用するAI-XDR型の運用へと進化する第一歩を踏み出しました。
現時点では基本的なログ連携からのスタートですが、今後はEDRアラートとの相関分析や自動対応機能をさらに強化し、企業のセキュリティ運用をより実践的に支援できる基盤へと発展させてまいります。」
FastTriageについて
FastTriageは、株式会社サイバーセキュリティ総研が提供するAI-SOC/MDR運用支援サービスです。
EDRなどのセキュリティ製品から発生するアラートをAIエージェントが分析し、検知内容の要約、脅威度の判断、影響範囲の整理、推奨対応の提示を行います。
これにより、SOC担当者や情報システム部門のアラート対応業務を効率化し、初動判断の迅速化を支援します。
今後は、EDRに加えてCloudflare OneなどのZero Trust・SASE基盤、ID、ネットワーク、クラウド、Webアクセスログなどを統合的に分析するAI-XDR型の運用基盤として、さらなる機能拡張を進めていきます。
