XDR详细介绍
自2020年至今, XDR(拓展检测和响应)就变成了网络信息安全行业的一个热门词汇,尤其是伴随着新冠疫情和网络威胁带来的新转变,XDR的关注度持续上升。XDR是一种新的技术性,也是一种解决方法型的商品,为检测和响应带来了新的概率。例如Gartner在2020年的《Top Security and Risk Management Trends》汇报中提及的第一项技术性和解决方法便是XDR。在意味着发展趋势的Hype Cycle中,有两个关键的Hype Cycle都提及了XDR这一核心技术。与此同时,海外各种生产商也在不停的宣传策划自身的XDR解决方法,包含Palo Alto Networks、Trend Micro、Cisco、McAfee等。 除此之外,在2020年Gartner网上的Summit在主题演讲《Top Trends in Security and Risk Management》中的八大发展趋势中,第一个也是XDR,做为SIEM和SOAR的代替计划方案发生在流行销售市场中。
如今广泛认为XDR来源于EDR(节点检测与响应)。EDR是一种安全工具,监控与互联网相接的终端产品用户硬件配置上的异常主题活动与个人行为,并全自动响应以阻隔发觉的危害,与此同时为进一步调研存留调查取证数据信息。从名称上可以看得出,XDR跟EDR的关联近期,与此同时终端设备种类的网络安全产品也是在事情响应中最重要的商品。可是XDR是一种解决方法型的商品,在安全运营管理体系中添加了一些有具体安全性使用价值的设备中,为此来提升总体的检测和响应高效率。
XDR在Gartner的界定是:SaaS种类的安全性危害检测和响应服务平台,集成化了大批量的商品,并统一了有关license收费标准,实际产品功能视生产商而各有不同。XDR商品具体有三大使用价值:1. 立即集成化网络安全产品拆箱即用;2. 有统一的安全性数据归一化和去中心化可供剖析和查看;3.因为有不同产品的协调和融洽,因而可以改善检测的敏感度;4.多商品连动解决更改单一商品的响应全过程。XDR商品的最少结合必须有威胁情报的连续升级,及其必须数据信息的归一化和去中心化解决便于剖析和关系。规范化的解决方法必须SaaS的储存,图数据库的适用剖析,集成化有关的网络安全产品,包含EDR、服务器防火墙、SEG、CASB、CWPP这些。
XDR的使用价值,最立即便是2个:一个便是可以提升安全运营的效果和使用价值,提高检测和响应的工作能力,可以根据集成化多种多样网络安全产品并统一开展安全性了解;另一个便是减少安全运营的复杂性。一个统一的解决方法,可以统一在一个商品页面开展安全隐患的处理,而不用每一个商品开展直接的连接调节,减少了安全运营的连接成本费和应用成本费。XDR的核心优势展现在三个方面:1. 改善维护、检测和响应的工作能力;2. 提升安全运营职工的高效率;3. 减少得到合理检测和响应工作能力的整体具有成本费(TCO)。
必须考量的问题
新冠疫情至今,危害局势再次发展趋势并快速扩张。伴随着从节点到互联网再到云的进攻方式成倍增加,很多公司应用一流的解决方法来解决每一种进攻方式,以防护这种特殊系统漏洞。殊不知,这种专用工具并没将全部技术性局部变量中的安全隐患联络起來。因而,安全性数据信息是独立地搜集和剖析的,没有前后文或关系。
伴随着 XDR 愈来愈备受关心并变成重要的下一代安全工具,在应用 XDR 解决方法时,你应该考虑到下列五个问题。
1. XDR 解决方法是不是给予了充足的跨局部变量由此可见性及其从好几个数据库无缝拼接获得的工作能力?
EDR 解决方法特别适合从节点获得安全性有关信息。可是,他们欠缺追踪剖析技术性,没法为精确叙述很有可能超越其他来源的网络攻击的行为表现和方向给予靠谱的剖析。强劲的 XDR 服务平台根据开启来源于好几个安全性层和也许的加强攻势的追踪剖析来处理追踪剖析限定问题。这促使不断监测和管理方法传到报警变成很有可能。除此之外,依靠危害情报源,XDR 系统软件可以积极检索掩藏的危害。
Singularity XDR 可以使公司从一切技术性商品或服务平台即时无缝拼接地获取结构型、非结构化和半非结构化数据,摆脱数据孤岛并清除重要盲区。根据Singularity近期回收的 Scalyr,该解决方法可以让安全性精英团队在单独汽车仪表板中查询由来源于全部服务平台的不一样安全性解决方法搜集的数据信息,包含节点、云工作负荷、计算机设备等。
Singularity XDR 使剖析工作人员可以运用从众多不一样解决方法里将事情信息资讯到单独情景化“事情”中所获取的判断力。它还为客人给予中间实行和剖析层点网络交换机,以完成完善的公司由此可见性和独立防止、检测和响应,协助机构从统一的视角解决网络信息安全挑戰。
2. XDR 解决方法是不是给予跨不一样安全性层的自动化技术前后文和关系?
很多 EDR 解决方法必须(人力)安全性精英团队开展调研。但充分考虑转化成的报警总数,很多安全性精英团队沒有非常的网络资源来解决每一个事情。一个强悍的 XDR 解决方法应当根据人工智能技术和智能化的内嵌前后文和关系来提高。
SentinelOne 得到专利权的 Storyline 技术性在全部企业安全生产局部变量中给予即时、自动化技术的机器设备搭建前后文和关系,将断开的数字转换为多种多样的小故事,并让安全性投资分析师掌握她们自然环境中产生的详细事儿。全自动将全部有关事情和主题活动连接到一个具备唯一标志符的情节中。这使安全性精英团队可以在几秒内查询所产生事情的详细前后文,而不用耗费数钟头、数日或几个星期手动式关系日志和连接事情。
SentinelOne 的个人行为模块追踪全部区域环境中的全部系统活动,包含文档/注册表文件变更、服务项目运行/终止、进程间通信和互联网主题活动。它检测做为故意个人行为指标值的技术性和对策,以监管隐敝个人行为,合理鉴别无文档进攻、横着挪动和积极实行 rootkit。 Singularity XDR 全自动将有关主题活动关系到统一报警中,给予主题活动等级的判断力,并容许公司跨不一样方式关系事情,以推动将报警做为单独事情开展归类。
3. XDR 解决方法是不是根据集合的威胁情报全自动丰富多彩危害?
伴随着新的危害的发生,环境因素的欠缺促使剖析工作人员基本相同报警或指标值是不是表示了对其机构的真真正正危害。威胁情报给予相关危害、系统漏洞和故意指标值的最新消息,让安全性精英团队可以致力于最关键的事情。用心搭建的 XDR 解决方法适用来源于好几个由来的威胁情报集成化,以协助安全性精英团队迅速高效地明确报警的等级和归类。
Singularity XDR 集成化了威胁情报,用以检测和丰富多彩来源于领跑的第三方源和SentinelOne的专用由来,这种由来根据即时威胁情报全自动丰富多彩节点事情。它使安全性精英团队可以得到有关进攻指标值 (IoC) 的附加前后文风险性得分,例如 IP、hach、系统漏洞和域。例如,根据SentinelOne的 Recorded Future 集成化,从 80多万个由来中全自动丰富多彩危害,使顾客可以加快危害调研和归类作用。顾客可以运用 SentinelOne 科学研究方案策划的检索查看库,该库持续评定新方式,以发觉新的 IOC 和战略、技术性和程序流程 (TTP)。
4. XDR 解决方法是不是可以跨不一样域全自动响应?
自然,事情检测和调研必须开启合理的响应以减轻进攻事情。响应必须事先界定且可反复,以提升修补高效率并干涉已经开展的进攻的一切流程。应对措施应明文规定可用来减轻进攻的短时间和长期性对策。掌握危害发生的缘故针对提升稳定性和避免将来产生相似的伤害也尤为重要。务必采用一切相应措施,以保证相近的进攻不大可能再次出现。
Singularity XDR 使剖析工作人员可以采用全部必需的操作方法来全自动处理危害,在所有地区的一台、几台或全部设施上一键式全自动处理危害,而不需要撰写脚本制作。只需点击一下,投资分析师就可以实行修补实际操作,例如互联网防护、在故意工作平台上全自动布署代理商或跨云自然环境全自动实行对策。
Singularity XDR 还容许顾客运用 Storyline 给予的研究作用,根据 Storyline Active-Response (STAR) 建立特殊于其自然环境的自定全自动检测标准。 STAR 容许公司融合其业务流程自然环境并按照其要求订制 EDR 解决方法。依靠 Storyline Active-Response (STAR) 自定检测标准,你能将查看变换为全自动检索标准,在规则检测到配对项时开启报警和响应。 STAR 使你能灵便地建立特殊于你的自然环境的自定报警和响应,以全自动、迅速地检测和抵制全部区域环境中的危害。
5. XDR 解决方法是不是使你轻轻松松与领跑的 SOAR 专用工具集成化?
因为你的 SOC 中很有可能布署了别的安全工具和技术性,因而你的 XDR 解决方法应当使你可以运用你在安全工具层面的目前作用。重要作用将是内嵌集成化,包含全自动响应、集成化威胁情报。
SentinelOne 根据 Singularity Marketplace 向第三方系统软件(如 SIEM 和 SOAR)给予很多的集成化组成。 Singularity 应用软件代管在SentinelOne可拓展的无网络服务器作用即服务云平台上,只需单击两下就可以与适用 API 的 IT 和安全管理结合在一起。 Singularity Marketplace 是 SentinelOne 服务平台的一部分,使顾客可以清除撰写繁杂编码的阻碍,使自动化技术在经销商中间越来越简易和可拓展。安全性精英团队可以利用在不一样域中的安全工具中间促进统一、融洽的响应,轻轻松松地明确最好行动方案,以修补和避免安全性进攻。
文中翻譯自:
https://www.sentinelone.com/blog/5-questions-to-consider-before-choosing-the-right-xdr-solution/