NDR ソリューションの比較: ダークトレースとVectra の概要

2023年7月31日
2024年8月29日
技術ブログ
Security
638view

1 NDR の概要
- 1.1 NDR と EDR の違い
2 NDR の主な製品
3 不正通信を検出した後の対策
4 TCP リジェクトによる通信遮断と EDR 連携の比較
5 まとめ

NDR の概要

NDR（Network Detection and Response）は、セキュリティ脅威がネットワーク内で行動するのを識別し、対処するための技術です。NDR ソリューションは通常、ネットワークトラフィックを監視し、機械学習や AI を使用して異常なパターンや不審な行動を検出します。これにより、攻撃者がネットワークに侵入したとき、または既存のユーザーが不正行為を働いたときに迅速に対応できます。NDR の主な目的は、脅威の検出、調査、対応の速度と効率を向上させることです。

NDR と EDR の違い

NDR はネットワークトラフィックを監視し、不審なパターンを検出するのに対し、EDR はエンドポイントの動作を監視し、脅威の兆候を検出します。

	NDR	EDR
脅威検出	ネットワーク通信やトラフィックパターンに基づいて検出します。	プロセス、レジストリ、メモリなど、システム内部の動作に基づいて検出します。
対策	ネットワーク上の不正な通信を遮断したり、検出した異常行動に対してアラートを発する等	不正なプロセスを停止したり、エンドポイントを隔離したりする等
適用環境	ネットワークトラフィックが豊富で、通信パターンから異常行動を検出できる環境	エンドポイントのセキュリティが重視される環境、エンドポイントの動作から異常を検出できる環境

NDR の主な製品

ダークトレース：
自己学習 AI を用いて、企業のネットワーク内での全ての通信を監視します。これにより、異常な行動や脅威をリアルタイムで検出し、自動的に防御措置を講じることが可能となります。また、エンタープライズ規模のネットワークにも対応し、その規模や複雑さにかかわらずセキュリティを強化できます。
Darktrace | Cyber security that learns you
Darktrace AI interrupts in-progress cyber-attacks in seconds…

Vectra：
Vectra は、AI を活用して高度なサイバー攻撃や不正な内部行為を検出します。Vectra のCognito プラットフォームは、ネットワーク内の攻撃者の行動を検出し、優先順位をつけ、セキュリティチームが迅速に対応できるようにします。また、Vectra はクラウド、データセンター、エンドユーザーネットワークをカバーする一方で、シームレスな統合を可能にする API も提供しています。
Stop Advanced Cyberattacks with Vectra AI
Vectra AI's Threat Detection and Response Platform protects …

ダークトレースと Vectra の簡単な比較は次のとおりです。

	ダークトレース	Vectra
利点	自己学習 AI によるリアルタイムの脅威検出と対応	Cognito プラットフォームによるリスクスコア付けと攻撃の進行状況の視覚化
	大規模な企業ネットワークに特化している。	深層学習と AI を活用した高度な脅威検出と対応
	–	主要なクラウドプロバイダーとのクラウドネイティブインテグレーション
注意点	クラウドサービスとの統合が他社に比べて劣る可能性がある。	一部の特定のユースケースに対する対応力が不足している可能性がある。
注意点	システムのカスタマイズが難しい可能性がある。	複雑な UI と統合に対する学習曲線がある。

不正通信を検出した後の対策

脅威検出後、迅速且つ適切に対策を実施するかは重要なポイントとなります。ダークトレースと Vectra の対策機能の比較は次のとおりです。

	ダークトレース	Vectra
対策手段	不正な通信を TCP リジェクトで遮断し、アラートを発する等。	他のセキュリティソリューション（EDR 等）との連携等
自動対応	AI が自動的に対策を提案・実行	AI が検出した脅威に対して自動的に対応を行い、他のセキュリティソリューションとの連携により、より広範な対策が可能
適用環境	あらゆる種類と規模のネットワーク環境に適している。	ネットワークだけでなく、クラウド環境やデータセンターでも高いパフォーマンスを発揮

TCP リジェクトによる通信遮断と EDR 連携の比較

TCP リジェクトによる通信遮断とエンドポイントセキュリティ連携（EDR）による端末隔離を比較は次のとおりです。

	TCP リジェクトによる通信遮断	エンドポイントセキュリティ連携 (EDR) による端末隔離
強み	・速やかにネットワークレベルでの通信を遮断可能・エンドポイントのリソースを消費しない・インフラストラクチャ全体での視覚化と制御が可能	・詳細なエンドポイントのコンテキスト情報に基づく対応が可能・単一のエンドポイントに対する攻撃を特定・隔離可能・エンドポイントの行動に基づいて学習・対応が可能
注意点	・誤検出による通信の遮断がある・エンドポイントの具体的な状況やコンテキストに基づいた対応が難しい	・エンドポイントのパフォーマンスへの影響の可能性がある・ネットワーク全体の視点からの脅威対策が難しい

まとめ

NDR は、複雑化する脅威に対抗する重要な戦略です。その目的は、潜在的な脅威を迅速に検出し、対策を立てることです。本ブログでは、NDR ソリューションとしてのダークトレースと Vectra、および、不正通信検出後の対策に関する比較について紹介しました。これらの情報が NDR を検討する際の一助となれば幸いです。

以上