Cos'è la telemetria di XDR?

La telemetria XDR fa riferimento ai dati raccolti da specifiche soluzioni di sicurezza tra cui, ad esempio, quelle che si occupano di email, endpoint, server, workload in cloud e rete. Poiché ogni livello di sicurezza o soluzione contiene vari tipi di dati di attività, una piattaforma XDR raccoglie la telemetria per rilevare e andare alla ricerca di minacce sconosciute e assistere nell'analisi delle cause principali.

Tipo di telemetria per livello di sicurezza

Le soluzioni di sicurezza raccolgono dati su una varietà di eventi che si verificano durante una giornata. Questi eventi variano dalle informazioni sui file accessibili dall'utente alla modifica del registro di sistema su un dispositivo. Esempi di tipi di dati raccolti includono i seguenti:

Eventi di rete

  • Schemi di flusso del traffico
  • Connessioni perimetrali e laterali instaurate
  • Comportamenti sospetti nel traffico
  • Impronte digitali TLS (precedentemente SSL) (JA3)

Workload in cloud

  • Modifiche alla configurazione
  • Istanze nuove/modificate
  • Attività sull'account utente
  • Processi
  • Comandi eseguiti
  • Connettività di rete
  • File creati/acceduti
  • Modifiche al registro

Email

  • Metadati associati ai messaggi (email esterne e interne)
  • Metadati degli allegati
  • Collegamenti esterni
  • Attività degli utenti (come gli accessi)

Endpoint

  • Processi
  • Comandi eseguiti
  • Connettività di rete
  • File creati/acceduti
  • Modifiche al registro

Come i dati di telemetria raccolti fanno la differenza

Ciò che differenzia le piattaforme XDR sono i dati che vengono raccolti e l'utilizzo che se ne fa.

Una piattaforma XDR realizzata principalmente sul proprio stack di sicurezza nativo ha il vantaggio di godere di più profonda comprensione dei dati. Ciò le permette di raccogliere esattamente ciò che è necessario per ottimizzare i modelli analitici per il rilevamento correlato, l'indagine approfondita e la caccia alle minacce.

I fornitori che si affidano principalmente all'estrazione di dati da prodotti di terze parti iniziano con una minore comprensione dei dati associati. Probabilmente tali fornitori non ottengono il tipo e la profondità di telemetria necessari per comprendere il contesto completo di una minaccia.

Anche se è pratica comune guardare la telemetria, i metadati e i flussi di rete, questi dati di allerta in realtà non forniscono informazioni sulle attività correlate necessarie per eseguire l'analisi e guidare le operazioni effettive.

La comprensione di come la telemetria è strutturata e memorizzata è importante tanto quanto la comprensione dei dati di telemetria raccolti. A seconda dei dati sulle attività, diversi database e schemi risultano maggiormente appropriati per ottimizzare il modo in cui i dati vengono acquisiti, interrogati e utilizzati.

Usando i dati di rete come esempio, un database a grafo sarebbe il più efficiente, ma per i dati degli endpoint, il motore per la ricerca e le analisi aperto Elasticsearch sarebbe preferibile.

Disporre di diverse strutture di data lake configurate per diversi tipi di telemetria può costituire una differenza significativa rispetto all'efficienza e all'efficacia dei dati ai fini di rilevamento, correlazione e ricerca.

Telemetria di XDR vs. avvisi SIEM

Nonostante il SIEM sia efficiente nell'aggregare log e allarmi, non è altrettanto efficiente nel collegare più allarmi associati allo stesso incidente. Ciò richiederebbe una valutazione della sua telemetria livello di base attraverso diversi livelli di sicurezza.

Sfruttando la telemetria, gli allarmi XDR prendono in considerazione non solo le informazioni di allarme ma anche altre operazioni critiche per identificare attività sospette o dannose. Per esempio, un'attività di PowerShell da sola potrebbe non risultare in un allarme SIEM, ma XDR è in grado di valutare e correlare le attività attraverso diversi livelli di sicurezza, compreso l'endpoint. 

Eseguendo modelli di rilevamento sulla telemetria raccolta, una piattaforma XDR può identificare e inviare al SIEM un numero inferiore di allarmi maggiormente affidabili, riducendo l'impegno di triage richiesto agli analisti della sicurezza.

Articoli correlati