Los analíticos de seguridad de la detección y respuesta extendidas (XDR) examinan un alto volumen de información para identificar una serie de actividades sospechosas. Estos analíticos en la nube localizan amenazas – como día-cero y ataques dirigidos – que están ocultas entre todos los datos de actividad recolectados.
XDR security analytics: el núcleo de XDR
Los analíticos de seguridad están en el núcleo de XDR para abordar el reto de tener diversas fuentes de telemetría provenientes de diferentes protocolos, productos y capas de seguridad. XDR típicamente incluye datos de actividades provenientes de varios vectores – emails, endpoints, servidores, workloads en la nube, y redes en particular.
Un motor de analíticos de seguridad entonces procesa esos datos y detona una alerta basada en filtros, reglas o modelos definidos. Los analíticos son lo que vinculan la información entrante a la plataforma de XDR para identificar eventos de seguridad y su severidad.
XDR usa la mejor técnica analítica o combinación de técnicas para realizar una detección – ya sea machine learning, data stacking, u otro tipo de análisis de big data. Los analíticos de XDR examinan los datos de actividades y buscan diferentes patrones de comportamiento a lo largo de las capas de seguridad para identificar ataques complejos y de múltiples fases.
Analíticos de seguridad y modelos de detección
Los analíticos de seguridad de XDR correlacionan eventos, comportamientos y/o acciones de baja confianza dentro y a lo largo de las diferentes capas de seguridad.
En lugar de que un analista de seguridad vea fragmentos aislados de actividades sospechosas, XDR puede correlacionar una serie de eventos e identificarlos como maliciosos – en lugar de una alerta para un email sospechado de phishing y tal vez otra alerta aislada para un acceso a un dominio sospechoso, por ejemplo. XDR puede ver si el email sospechoso de phishing está relacionado al acceso extraño al dominio web en un endpoint, y si hubo una descarga de archivo después de que se corrió un script. Esto entonces podría llevar a una detección XDR de alta fidelidad de actividad maliciosa que se debe investigar.
XDR toma eventos detectados de forma individual y otros datos de actividades y correlaciona la información, y entonces aplica analíticos de la nube para poder realizar detecciones más sofisticadas y precisas. XDR se enfoca en los comportamientos que los productos individuales no pueden ver por sí mismas.
Entre más, ¿mejor?
Cuando se trata de los analíticos de XDR, entre más reglas, fuentes y capas disponibles, mejor. Pero también es importante la calidad de los datos. Si la calidad y análisis de sus hallazgos no le dan insights, su recopilación de datos no es necesariamente útil.
Reglas y técnicas de detección: Al potenciar una infraestructura en la nube, se implementan nuevas reglas y modelos mejorados de detección de amenazas para buscar una serie de actividades sospechosas. Con uso frecuente, las técnicas de detección de machine learning pueden refinar reglas constantemente para mejorar la efectividad de la detección y reducir falsos positivos.
Fuentes: La investigación e inteligencia de amenazas permiten que evolucionen nuevos modelos de detección conforme evoluciona el panorama de amenazas. Los modelos de detección deberían integrar información interna y externa de amenazas como las tácticas y técnicas de MITRE ATT&CK™
Capas: Entre más capas se seguridad se agreguen, mayores serán las capacidades analíticas entre capas de la plataforma, por lo que crecerá el valor para el cliente de forma exponencial.