La télémétrie XDR désigne les données collectées par des solutions de sécurité spécifiques – y compris mais non limité aux emails, aux endpoints, aux serveurs, à la charge de travail sur le Cloud et au réseau. Chaque couche ou solution de sécurité contenant divers types de données d’activité, une plateforme XDR collecte la télémétrie pour détecter et rechercher les menaces inconnues et contribuer à l’analyse des causes racines.
Les solutions de sécurité collectent des données sur de nombreux événements se produisant au cours d’une journée. Ces événements vont des informations des fichiers auxquels l’utilisateur a accédé aux modifications de registre sur un appareil. Les exemples de types de données collectées comprennent, sans s'y limiter, les éléments suivants :
Événements sur le réseau
Charges de travail cloud
Endpoints
Les plateformes XDR se différencient par le type de données collectées et leur utilisation.
Une plateforme XDR construite principalement sur sa propre pile de sécurité native présente l'avantage d'une compréhension approfondie des données. Cela permet à la plateforme de collecter précisément ce qui est nécessaire pour optimiser les modèles analytiques de détection corrélée, d'investigation approfondie et de détection des menaces.
Les fournisseurs qui extraient principalement des données de produits tiers commencent malheureusement avec une compréhension moindre des données associées. Il manque probablement à ces fournisseurs le type et la profondeur de télémétrie nécessaires pour comprendre le contexte d’une menace dans sa globalité.
Bien qu’il soit courant de consulter la télémétrie, les métadonnées et NetFlow, dans les faits ces données d’alerte ne fournissent pas les informations d’activité correspondantes requises pour effectuer le traitement analytique et obtenir des informations exploitables.
Comprendre la structuration et le stockage de la télémétrie est aussi important que comprendre la télémétrie collectée. Selon les données de l’activité, différents schémas et bases de données sont plus appropriés pour optimiser la façon dont les données sont capturées, interrogées et utilisées.
En prenant l’exemple des données en réseau, une base de données de graphe serait la plus efficace, mais pour les données des endpoints, le moteur ouvert de recherche et de traitement analytique Elasticsearch serait préférable.
Le fait de posséder différentes structures de data lake pour différentes télémétries peut faire toute la différence en matière d’efficacité des données à des fins de détection, de corrélation et de recherche.
Tandis que SIEM est efficace pour agréger des journaux et des alertes, il n’est pas aussi efficace pour regrouper plusieurs alertes identifiées avec le même incident. Cela nécessiterait une évaluation au niveau de la télémétrie racine dans les différentes couches de sécurité.
En tirant parti de la télémétrie, les alertes XDR prennent en compte les informations d’alerte ainsi que d’autres activités critiques conçues pour identifier les activités suspectes ou malveillantes. Par exemple, l’activité PowerShell à elle seule ne peut pas entraîner une alerte SIEM, mais XDR peut évaluer et corréler les activités sur plusieurs couches de sécurité, dont l’endpoint.
En exécutant des modèles de détection sur la télémétrie recueillie, une plateforme XDR peut identifier et envoyer au SIEM des alertes moins nombreuses et à niveau de confiance supérieur, ce qui réduit la quantité de triage requise par les analystes de sécurité.