Los análisis de seguridad de detección y respuesta extendidas (XDR) examina un alto volumen de información para identificar un serie sospechosa de actividades. Estos análisis en la nube encuentran amenazas, como las de día cero y ataques dirigidos, escondidas entre todos los datos de actividad recopilados.
Los análisis de seguridad están en el núcleo de XDR para abordar el desafío de las muy diversas fuentes de telemetría que provienen de distintos protocolos, distintos productos y distintas capas de seguridad. Habitualmente, XDR incluye datos de actividad procedente de numerosos vectores: emails endpoints, servidores, workloads en la nube y redes en particular.
A continuación, un motor de análisis de seguridad procesa esos datos y activa una alerta con base en filtros, reglas o modelos definidos. Los análisis son lo que cohesionan la información procedente en la plataforma de XDR con el fin de identificar eventos de seguridad y su gravedad.
XDR utiliza la mejor técnica analítica o combinación de técnicas para realizar una detección, ya sean machine learning, apilamiento de datos u otros análisis de grandes cantidades de datos. Los análisis de XDR examinan los datos de actividad y buscan distintos patrones de comportamiento en capas de seguridad para identificar ataques complejos de múltiples pasos.
Los análisis de seguridad de XDR correlaciona acciones, comportamientos y/o eventos de baja fiabilidad dentro y entre las distintas capas de seguridad.
En vez de un analista de seguridad que ve fragmentos aislados de actividad sospechosa, el XDR puede correlacionar series de eventos e identificarlos como maliciosos, al contrario que una alerta de un email sospechoso de phishing y otra posible alerta aislada de un acceso sospechoso a un dominio web, por ejemplo. XDR puede ver el posible email de phishing como relacionado con un acceso extraño de dominio web en un endpoint seguido posteriormente de un archivo descargado tras la ejecución de un script. Esto llevaría a una detección de XDR de alta fidelidad de actividad maliciosa para investigarlo.
XDR recoge eventos individuales detectados y otros datos de actividad, realiza una correlación cruzada y después aplica análisis de nube para realizar una detección más exitosa y sofisticada. XDR se centra en el comportamiento que los productos individuales no pueden ver por sí solos.
Cuando se trata de análisis de XDR, cuantas más reglas, fuentes y capas haya disponibles, mejor. Pero la calidad de los datos también es importante. Si la calidad y los análisis de sus descubrimientos no son esclarecedores, su recopilación de datos no tiene por qué ser útil.
Técnicas y reglas de detección: al aprovechar una infraestructura de nube, las reglas y modelos de detección de amenazas, nuevos o mejorados, se amplían regularmente para buscar distintos tipos de series sospechosas de actividades. Gracias a un mayor uso, las técnicas de detección de machine learning pueden redefinir reglas continuamente para mejorar la efectividad de la detección y para reducir los falsos positivos.
Fuente: La información e investigación de amenazas posibilita nuevos modelos de detección para evolucionar a medida que lo hace el panorama de las amenazas. Los modelos de detección deberían integrar información sobre amenazas internas y externas como las técnicas y tácticas de MITRE ATT&CK™.
Capas: Cuanto mayor sea el número de capas de seguridad añadidas, mayores serán las capacidades de análisis entre capas de la plataforma y, por tanto, mayor valor exponencial para el usuario.