扩展检测和响应(XDR)是一种更全面的威胁检测和响应功能,现在大多数网络安全提供商都提供这种功能. 这个进行, 云可扩展的安全解决方案可以统一和转换多个遥测源. 弗雷斯特 将XDR定义为“ 端点检测和响应”(功能).
业界迫切需要推动功能更加积极主动, 包括, 而且是规定性的,没有更多的边界, 数据正在快速地进出云端, 威胁行为者的胜算比以往任何时候都大. XDR承诺更早地发现威胁并更快地响应/修复. Gartner表示,XDR是一种“检测和事件响应工具,它将多种安全产品原生集成到一个内聚的安全操作系统中.”
和, 根据企业战略集团(ESG), XDR安全“可以作为网络安全力量的倍增器, 而不仅仅是RSA和黑帽大会的下一个热门话题.“关于XDR究竟是一种产品,目前仍存在重大争议? 解决方案? 的演变 安全信息和事件管理(SIEM)?
现在, 最有用的说法是有意义的方法更有效率, 有效的检测和响应.
XDR通过利用高级分析将来自多个遥测源的警报关联到可操作的威胁情报中,从而在检测和响应过程中更早地阻止威胁. 让我们看一下XDR解决方案的内部工作原理.
XDR应该统一远程用户之间的遥测, 网络数据, 端点, 云——以及接下来发生的一切. 使用良好的XDR方法, 分析人士整理了一些检测结果, 全面的调查, 详细且高度相关的威胁事件, 以及自动响应建议. 分析师可以更简单、更聪明、更快速地工作,而且他们总是知道下一步该做什么.
正确的XDR方法是结束跳转选项卡. 它提供了一个单一的、全面的中心,可以在没有技术限制的情况下进行扩展. 期望SaaS交付能够促进跨办公室或世界各地的协作. XDR还应该减轻安全团队的繁重分析需求, 为您解析和分析警报.
成熟的XDR具有显著不同的信噪比. 正确的方法, 威胁情报, 检测库背后的勤奋意味着您可以信任开箱即用的检测. 所有不同的数据都应该根据用户、资产和活动进行关联.
弗雷斯特表示,XDR应该包括一键执行的规范响应网络安全剧本. 您应该期待为端点威胁遏制之类的事情预构建工作流, 用户帐户暂停, 以及与Jira和ServiceNow等票务系统的集成.
传统SIEMs的构建是为了消耗大量日志数据,并为安全团队提供分析功能. 从那里, 由你来收集相关的安全遥测数据, 相关研究结果, 验证的威胁, 和纠正.
现在,拿一个 XDR方法 -以云SIEM为核心-将分析和配置从您的 安全运营中心(SOC). 重点是提高效率,加快事件响应速度,为你的一天创造更多的空间.
传统的SIEM留给你很多东西. 然而,XDR=SIEM + 功能,都与策展. 这意味着团队拥有原生资源, 有关, 以及可操作的遥测技术, 高保真度检测, 以及规范性的反应剧本.
XDR应该远远超出管理和分析SIEM日志的范围. 数字化转型正在加速,“在任何地方工作”成为新常态. 真正的XDR平台能够应对这些新的安全挑战, 识别来自一系列遥测源和威胁馈送的威胁.
随着需要管理的数据量越来越大,需要调查的警报也越来越多. 传统的SIEM解决方案通常不能为分析师提供他们需要的上下文,以确定这些警报的优先级.
这是XDR真正腾飞的地方. 我们指的是杠杆作用 安全自动化和响应(SOAR) 自动清除大量误报的做法,并提高警报的质量. XDR提炼并引导了最有效的SIEM和SOAR实践, 强调先进的遥测技术, 因此,与传统的反应性工作流相比,团队可以更加主动.
功能是SOC方法中的关键因素-它有助于保护网络中的特定端点并防止工作站凭证被盗, 威胁角色的横向移动, 以及其他难以捉摸的行为. 捕获警报的相关上下文是扩展的“特殊调味品” 终端安全 因此,分析师和专家可以更快地采取行动.
一个有能力的事件检测和响应(IDR)解决方案应该能够利用这种扩展的端点遥测技术来提供开箱即用的威胁检测. 分析师s could then act faster because they don’t have to sift through mountains of 警报; they can quickly respond to the alert that ranks as the highest priority.
XDR端点解决方案并不局限于基本的威胁检测. 增强端点遥测(EET) 让团队知道是什么触发了特定的检测. 他们会得到事件前后发生的具体细节. 和, 将所有重要的“X”添加到功能中意味着团队还将受益于文件完整性监控(FIM),它为涉及检测的用户和特定资产提供了更健壮的上下文.
如果您正在寻找XDR解决方案, 你并不孤单:83%的组织正在增加他们的威胁检测和响应预算, 29%的人承认存在“盲点”,29%的公司需要缩短恢复时间, 27%的人希望了解哪些威胁是优先考虑的.2
Many vendors promising XDR outcomes are assuming you’ll integrate – 和 pay for – the many other cybersecurity technologies you’ll need for the complete telemetry set 和 extended-environment visibility: endpoint agents; network sensors; cloud hookups; 用户行为分析; log ingestion.
重要的是要了解包括什么,以及你的团队应该带来什么.
那么,XDR最令人期待的结果之一是什么? 承诺结束嘈杂的警报并提供高保真的检测.
问一下方法是个好主意, 威胁情报勤奋的背后,检测图书馆. 试着去理解哲学和概念证明. 亲身体验侦查. 最后,通过客观的第三方分析或评论来了解更多.
找出哪些是自动化的. 分析师们准备好采取行动了吗? 是否嵌入了引导?? XDR应该消除单调, 重复的工作,把你训练过的有趣的工作留给你,希望你能及时回家吃晚饭. 外部, 超越边界的主动威胁情报现在是应对日益动态的事件的标准 攻击表面.
托管XDR是由外部网络安全供应商提供的服务解决方案. 它包含了上面提到的XDR的所有优点, 与技术, 功能, 警报, 响应通常由外部供应商管理. 它减轻了内部安全团队管理扩展检测和响应程序的压力, 并允许SOC转向其他倡议和关注领域.
除了底层的XDR功能, 管理检测和响应(MDR) 通常包括 数字取证 违规反应,常规 威胁狩猎24x7x365监控,以及攻击者拦截能力. 通过添加XDR功能,安全团队不再需要在多个工具之间来回切换. 托管服务合作伙伴应该能够发现真正的威胁,并帮助您创建专门针对攻击及其对组织的影响量身定制的补救计划.
当SOC与精通XDR功能的MDR提供商合作时, 该团队正在确保它能够继续创新,以推动业务向前发展,同时还会收到带有适当上下文的警报,以确定优先级.
1 企业战略集团(ESG), 2021年2月