XDR(Extended Detection and Response) 보안 분석은 많은 양의 정보를 검사하여 의심스러운 일련의 활동을 식별합니다. XDR 보안 분석은 수집된 활동 데이터 사이에 숨겨져 있는 제로데이 및 표적 공격과 같은 위협을 찾습니다.
XDR 보안 분석 : XDR의 핵심
보안 분석은 서로 다른 프로토콜, 서로 다른 제품 및 서로 다른 보안 계층에서 제공되는 다양한 원격 측정 피드의 문제를 해결하기 위해 XDR의 핵심에 위치하고 있습니다. XDR에는 일반적으로 이메일, 엔드포인트, 서버, 클라우드 워크로드 및 네트워크 등 다양한 벡터에서 오는 활동 데이터가 포함됩니다.
그런 다음 보안 분석 엔진이 해당 데이터를 처리하고 정의된 필터, 규칙 또는 모델을 기반으로 경고를 트리거합니다. 분석은 XDR 플랫폼으로 들어오는 정보를 함께 연결하여 보안 이벤트와 그 심각성을 식별합니다.
XDR은 머신러닝, 데이터 스태킹 또는 기타 빅데이터 분석 등 최고의 분석 기술 또는 기술 조합을 사용하여 탐지합니다. XDR 분석은 활동 데이터를 조사하고 보안 계층 전체에서 다양한 행동 패턴을 찾아 복잡한 다단계 공격을 식별합니다.
보안 분석과 탐지 모델
XDR 보안 분석은 서로 다른 보안 계층 내에서 그리고 전체에 걸쳐 낮은 신뢰도 이벤트, 행동을 연관시키는 것입니다.
보안 분석가는 의심스러운 활동의 부분별로 조각을 보는 대신 XDR은 일련의 이벤트를 악의적인지 연관/식별할 수 있습니다. XDR은 엔드포인트의 드문 웹도메인 액세스와 관련하여 의심되는 피싱 이메일을 볼 수 있으며 이후 스크립트 실행 후 다운로드된 파일까지 확인합니다. 그러면 조사할 악의적인 활동에 대한 XDR 탐지로 이어집니다.
XDR은 개별적으로 감지된 이벤트 및 기타 활동 데이터를 가져와 더 정교한 탐지를 수행하기 위해 클라우드 분석을 적용하는 상관분석을 합니다. XDR은 개별 제품만으로는 볼 수 없는 행동에 중점을 둡니다.
많을수록 좋을까요?
XDR 분석의 경우 사용 가능한 규칙, 소스 및 레이어가 많을수록 좋습니다. 그러나 중요한 것은 데이터의 품질이기도 합니다. 품질과 분석 내용이 의미가 없는 경우는 데이터 수집 또한 반드시 유용한 것은 아닙니다.
탐지 규칙 및 기술: 클라우드 인프라를 활용하여 새로운 또는 향상된 위협 탐지 규칙 및 모델을 정기적으로 푸시하여 의심스러운 일련의 활동을 찾습니다. 빈번하게 사용됨에 따라 머신 러닝 탐지 기술은 탐지 효과를 개선하고 오탐을 줄이기 위해 지속적으로 개선하고 있습니다.
출처: 위협 연구와 위협 인텔리전스는 위협 환경이 진화함에 따라 새로운 탐지 모델을 발전시킬 수 있습니다. 탐지 모델은 MITRE ATT&CK™ 전략 및 기술과 같은 내부 및 외부 위협 정보를 통합해야 합니다.
계층: 더 많은 보안 계층이 추가될수록 플랫폼의 계층간 분석 기능이 향상되므로 사용자에게 기하급수적으로 늘어나는 가치를 제공할 수 있습니다.