ほとんどの企業アクセスシステムは、デバイスに関する情報を接続が確立された瞬間にのみ収集します:IP、OS名、おそらくTLSフィンガープリント、おそらくMDMトークン。その後、そのデータには触れられません。何時間も続くセッション全体を通じて、デバイスの状態が変化しないこと — パッチが適用されないこと、デバイス脅威防御 (EDR) エージェントが停止しないこと、新しいソフトウェアがインストールされないこと、USBドライブが接続されないこと — が前提とされます。
この前提は現代の攻撃モデルと整合しません。デバイスはセッション開始後に侵害される、デバイス脅威防御 (EDR) が停止される、マルウェアが読み込まれる、構成が変更される可能性があります。従来のシステムはこれを認識しません。なぜなら、一切見ていないからです。
継続的テレメトリーはこのモデルを打ち破ります。デバイスから定期的に — 秒または分単位で — テレメトリーが収集され、状態変化が記録され、しきい値を超えるとポリシーがトリガーされます。
TR7 ETMエージェントはデバイスの内部状態を継続的に測定し、TR7スタックの残りの部分とライブで共有します。
Windows、macOS、Linux向けに同じ能力のETMエージェントが提供されます。運用チームは異なるOSごとに異なるツールチェーンを管理する必要がなく、単一のプラットフォームからすべてのデバイスインベントリを監視できます。
エージェントは構成された間隔で — 業界とリスクレベルに応じて秒または分単位で — テレメトリーを収集します。データは時間と関連づけられます。状態変化は『イベント』として解釈され、スナップショットとしてではありません。
ソフトウェアインベントリ、稼働中プロセス、開放ポート、構成ファイル、証明書ストア、ローカルユーザーアカウント、ハードウェアインベントリ、ディスク暗号化、ネットワークインターフェース、セキュリティエージェント状態、レジストリキー、システムログイベント — 数十のデータカテゴリが単一のエージェントの下に。
定められたしきい値を超えたとき、重要な構成が変化したとき、または予期しないプロセスが開始したとき、ETMはイベントを生成します。AAMはこのイベントをアクセス判断に結びつける、SIEMへ送信する、またはオペレーター警告を出力できます。
継続的テレメトリーは単なるデータ収集ではなく、データをアクセスと運用の判断に結びつけるライブな可視性レイヤーです。
デバイス上のインストール済みソフトウェアリスト、バージョン情報、提供元、インストール時刻が継続的に監視されます。未承認のソフトウェアインストール、古いバージョンの使用、承認済みソフトウェアインベントリ外のアプリケーションがETMによって可視化されます。ライセンスコンプライアンスとセキュリティポリシーコンプライアンスが同じデータから供給されます。
デバイスがセキュリティポリシーに準拠した後に変更された構成項目 — ローカルファイアウォールルール、権限ファイル、監査ポリシー、レジストリ/plistの変更 — が継続的に追跡されます。ベースラインからの逸脱はアクセス判断またはオペレーター警告に変換できます。
ディスクのSMARTデータ、メモリエラー数、CPU温度、ネットワークインターフェースエラーが継続的に測定されます。ハードウェアの問題はアクセス判断の前に運用チームへシグナルされ、障害による劣悪なユーザー体験が発生する前に対応の余地が開かれます。
デバイス上で稼働するデバイス脅威防御 (EDR)、アンチウイルス、ホストファイアウォール、DLPエージェントの状態が継続的に監査されます。これらのエージェントの停止、無効化、ハングは即時イベントとしてETMに届きます。AAMアクセス判断にとってこのシグナルはファーストクラスの入力になります。
システムディスクに加えて、セカンダリディスクの暗号化状態も可視化されます。プラットフォーム標準のディスク暗号化ソリューション(Windows、macOS、Linux向け)から得られる状態がETMによって正規化され、単一のポリシー入力に変換されます。暗号化の無効化は即座に捉えられます。
デバイス証明書ストアの変更 — 新しい信頼されたルート証明書の追加、改ざんの兆候を示す署名イベント — が継続的に記録されます。このテレメトリーは特にTLS interceptionと隠れたプロキシの検出にとって貴重なシグナルです。
新しいローカルユーザーの作成、既存アカウントのadminグループへの追加、パスワードポリシーの変更といったイベントがテレメトリーに含まれます。デバイスの権限面における変化は企業の制御レイヤーから逃れません。
アクティブなネットワークインターフェース、IP構成、DNSサーバー割り当て、デフォルトルート、VPNトンネル状態が継続的に測定されます。予期しないトンネル、通常と異なるDNS割り当て、2つのネットワークからの同時アクセスがETMによって可視化されます。
デバイス上で稼働するプロセスツリー、起動時刻、親プロセス関係、開放ネットワークポートが記録されます。異常なサービスの起動や予期しないポートのリッスン開始がイベントとして反映されます。
3つの異なるOSから送られるデータが単一のデータモデルに正規化されます。オペレーターはWindowsとLinux向けに別々のクエリを書く必要がなく、同じポリシーをすべてのデバイスインベントリに適用できます。
継続的テレメトリーは単なる技術的能力ではなく、データ保管、消費、判断統合のための完全な運用モデルです。
各データカテゴリごとに個別の収集間隔を定義できます。重要なカテゴリ — セキュリティエージェント状態、ディスク暗号化 — は秒単位、低密度のカテゴリ — ソフトウェアインベントリ — は時間単位または日単位にできます。運用チームがデバイスとネットワーク負荷に応じてバランスを決定します。
テレメトリーは保管されるだけではありません。状態変化に対するしきい値を定義できます。デバイス脅威防御 (EDR) エージェントが稼働を停止したとき、新しいユーザーがadminグループに追加されたとき、またはディスク暗号化が無効になったとき、ETMはイベントを生成します。
テレメトリーがAAM側に転送されると、デバイスの信頼レベルが継続的に更新されます。ログイン後に状態が劣化したデバイスに対して、AAMは追加MFAを要求する、またはセッションを終了できます。
テレメトリーは生の形またはイベントレベルでSIEMへ転送できます。企業SIEMプラットフォームへの長期記録のためのフローが提供されます。イベント相関はアプリケーションアクセスレイヤーとともに行えます。
収集するデータカテゴリと詳細レベルはポリシーで管理されます。過剰なデータを収集しないこと、個人情報を含むフィールドのマスキング、保持期間の制限を構成できます。GDPRおよび業界規制当局向けに適切な構成が可能です。
テレメトリー収集と評価のレイヤーは、数万のエンドポイントを単一のTR7クラスターから管理するようスケールします。データ密度に応じて、保管、クエリ、過去にさかのぼる調査が計画されます。
ログイン時には安全だったデバイスで攻撃者がデバイス脅威防御 (EDR) エージェントを停止すると、ETMはこの状態を数秒以内に捉えます。AAMは自動的に追加MFAをトリガーする、セッションを保留にする、または完全ブロックを適用できます。
金融または医療データにアクセスするユーザーがセッション中に新しいUSBドライブを接続すると、ETMはこれをイベントとして反映します。ポリシーに応じてデータコピー防止の追加コントロールが作動するか、オペレーター警告が出ます。
デバイスの信頼されたルート証明書に新しい証明書が追加されることはTLS interceptionの兆候であり得ます。ETMはこの変更を即時イベントとして記録します。セキュリティチームは調査を開始できるか、デバイスがat-riskクラスに分類されます。
承認済みソフトウェアインベントリ外の、ライセンスのないまたは古いバージョンのアプリケーションが継続的に報告されます。運用チームはパッチ計画を実際のインベントリに基づいて立てられ、監査プロセス向けの証跡が用意されます。
ETM 継続的テレメトリーをお客様自身の環境で見てみましょう — デバイスインベントリに合わせてカスタマイズしたライブ構築のツアーを計画しましょう。