概要
エクサフォースは、Zscaler Internet Access(ZIA)のテレメトリを取り込み、可視化、トリアージ、調査、対応を一体化したAIベースのセキュリティ機能を提供します。
従来のSIEMでは対応が難しいフォワードプロキシやプライベートアプリのアクセスデータに対しても、エクサフォースはZscalerログのスケールと処理速度、データ構造に最適化されています。プロキシおよびアクセスイベントをリアルタイムで正規化し、柔軟なパイプラインなしで即時検索や履歴分析、高度な分析を実現します。
仕組み
エクサフォースは、Zscalerのテレメトリを継続的に収集・分析します。
ZIA(フォワードプロキシ):HTTP/HTTPSトランザクションのメタデータ(URL、メソッド、ステータス、レスポンスサイズ、処理時間、ブロック/許可/監視などのポリシーアクション)、SSL/TLSハンドシェイク情報、およびZscalerのL7エッジによる検査結果(DPI、サンドボックス、脅威カテゴリ)
管理者監査ログ:Zscaler管理コンソールを保護するため、管理者監査ログも収集します。
これらのデータは、ネットワークSaaSイベント、プロキシイベント、およびプライベートアクセスイベント向けのエクサフォースの共通スキーマに正規化されます。AIエンジンは、アイデンティティ、デバイス、部門、アプリケーション、ポリシーを相関し、行動ベースラインを構築して、リスクの兆候となる異常を即座に検出します。
コア機能
トリアージと誤検知の削減
Agentic AIが関連するZIAイベントを単一の調査単位(ケース)に統合し、アイデンティティ、部門、デバイス状態、ポリシーコンテキストなどの情報を付加します。優先度の高いアラートを自動で判別し、不要なノイズをリアルタイムで排除します。
詳細な調査
任意の検知結果から、エクサフォース上でZIAの生ログへ直接ドリルダウンできます。ユーザーのURLアクセス、適用されたポリシー、デバイス状態、コネクタ経路、最終的なアクセス判断を追跡し、不審なURLの発生から内部リソースへのアクセスやデータ移動までの一連の挙動を把握できます。
容易に実行できる脅威ハンティング
自然言語を使って数か月分のZscalerログを検索できます(例:「過去24時間でブロックされたChatGPTアクセス」「今週1GB以上をアップロードしたユーザー」)。ピボット操作により、ドメインからユーザー、部門、関連アプリへと数秒で分析を展開できます。
Zscalerをエクサフォースで保護するメリット
Zscalerのログ構造を深く理解
ZIAの構成要素、部門、ポリシー、コネクタグループ、アプリケーション、検査結果を理解し、正当な操作と実際の脅威を正確に区別します。
可視化とカバレッジの向上
すべてのユーザー、拠点、内部アプリにおけるプロキシおよびプライベートアクセスを一元的に可視化します。スプリットトンネルや例外設定による盲点を排除し、バイパスパターンも検知します。
アラート疲労を軽減し対応を迅速化
高精度な検知とAIトリアージにより不要なアラートを削減し、ガイド付きワークフローによって検知から封じ込めまでの時間を短縮します。
