マカフィーがXDR（Extended Detection and Response）プラットフォームとSASE（Secure Access Service Edge）プラットフォームを連携させた。より優れた脅威対策とセキュリティオペレーションセンターのシンプル化を実現する取り組みの一環だという。

Mvision XDRプラットフォームでは、現在提供されているアップデートを利用すればSASEテクノロジーによって収集されるすべてのテレメトリを相関させ、より多くの脅威を発見することができるようになり、調査・対応の自動化の強化につながるという。

RSAカンファレンスの基調講演にも登壇しているマカフィーのSVP兼CTO、Steve Grobman氏は、「環境内のサイバーイベントを追跡する際には、さまざまな視点からの可視性が必要になります」と話す。「エンドポイントが重要であることは明らかです。従来のEDRは、高度なアクターがエンドポイントで何をしているのかを振る舞いの観点から捉えることも可能になったという点で大きく進歩しました。しかし問題は、Unified Cloud Edgeから送られてくる重要なデータは他にもあるということです」

Mvision Unified Cloud EdgeはマカフィーのSASEアーキテクチャのセキュリティ部分を担っており、これにはセキュアWebゲートウェイ（SWG）、CASB（Cloud Access Security Broker：キャスビー）、データ損失防止（DLP）技術が含まれる。

一方、Mvision XDRプラットフォームはメールセキュリティ、EDR（エンドポイントでの検出・対応）、クラウド、ネットワークの可視性・セキュリティ技術などの複数の既存のマカフィー製品がベースとなっている。XDRをアップデートしてSASE攻撃のテレメトリも相関させられるようにしたことで、マカフィーは「調査者にプラットフォーム全体と対話する能力を提供し、Mvision Insightsのようなマカフィー独自のものを引き出せるようにしました」とGrobman氏は話す。

Mvision Insightsはマカフィーの分析エンジンで、プロアクティブなセキュリティを提供し、環境内に攻撃が侵入するのを防ぐものだ。Mvision Insightsはマカフィーが持つすべてのセンサーのテレメトリやサードパーティのグローバルな脅威インテリジェンスを取得するもので、企業が事前に脅威に優先順位を付けてリスクを軽減するのに役立つ。企業幹部やアナリストらは、マカフィーのXDRならではのものとしてこの予測型の脅威ハンティング機能を挙げることが多い。

Mvision Insightsによって、「当社はお客様の環境から出てくる情報やイベントに注目するだけでなく、そのコンテキストを捉えています。それはグローバルレベルで、あるいは同種のセクターや地理的に近い他の環境で見られるものと関係があるためです。そうした性質を持つものなのです」とGrobman氏は話す。「それらの情報をすべてまとめることこそが最新版のXDRプラットフォームの本質です」

このことは特に重要だ。企業や組織は、ますます多くの（ボットではなく）人間の攻撃者からの高度な攻撃にさらされている――米SolarWinds社や、最近では同Colonial Pipeline社に対して行われたDarkSideランサムウェア攻撃のようなたぐいだ。

「人間が支援するランサムウェアであれ、第2段階の攻撃であれ、共通するのは向こう側に人間のアクターがいるということです」とGrobman氏。「このようなシナリオでは、強力なXDR機能を持つことが非常に重要です。それによってサイバー防御者はこうした高度なシナリオの一部を追跡し、検出し、最終的に阻止することが可能になるのです」

https://www.sdxcentral.com/articles/news/mcafee-unites-xdr-sase-at-rsa-conference/2021/05/