Analizy bezpieczeństwa w zakresie rozszerzonego wykrywania i reagowania (XDR) polegają na badaniu dużych ilości informacji w celu wykrycia podejrzanych serii aktywności. Te narzędzia analizy chmurowej pozwalają wykryć zagrożenia, np. ataki z wykorzystaniem luk zero-day i ataki ukierunkowane, ukryte wśród innych danych dotyczących aktywności.
Analizy bezpieczeństwa stanowią rdzeń platformy XDR obsługujący różne źródła danych telemetrycznych, które napływają z różnych protokołów, produktów i warstw zabezpieczeń. Zwykle platforma XDR zawiera dane na temat aktywności z różnych źródeł – w szczególności z punktów końcowych, serwerów, chmury, poczty elektronicznej i sieci.
Są one przetwarzane przez mechanizm analityczny, który następnie zgłasza alarmy na podstawie zdefiniowanych filtrów, reguł lub modeli. Analizy pozwalają powiązać ze sobą informacje napływające do platformy XDR w celu identyfikacji i oceny powagi zdarzeń dotyczących bezpieczeństwa.
Do wykrywania zagrożeń platforma XDR stosuje najlepszą technikę analizy lub kombinację technik, takich jak machine learning, data stacking i inne metody analizy dużych ilości danych. Rozwiązanie analityczne XDR bada dane aktywności pod kątem różnych wzorców zachowań na różnych warstwach zabezpieczeń, co pozwala mu wykryć złożone wieloetapowe ataki.
Analizy bezpieczeństwa XDR wiążą mało istotne zdarzenia, zachowania i aktywności na przestrzeni różnych warstw zabezpieczeń.
Platforma XDR łączy fakty i w ten sposób wykrywa złośliwą aktywność, zamiast przedstawiać analitykowi niezwiązane ze sobą informacje o podejrzanych zdarzeniach. To całkiem odmienne podejście od zgłoszenia jednego alarmu w związku z podejrzeniem phishingu i drugiego w związku z podejrzanym dostępem do domeny sieci web. Platforma XDR powiąże tę wiadomość z dostępem do rzadko używanej domeny sieci web na punkcie dostępowym oraz następujące po tym pobranie pliku po uruchomieniu skryptu. Daje to możliwość wykrywania z dużą pewnością złośliwej aktywności i jej szczegółowego badania.
Zaawansowane algorytmy platformy XDR wiążą ze sobą pojedyncze wykryte zdarzenia i inne rodzaje aktywności, a następnie poddają je analizie w chmurze, aby skutecznie wykrywać zagrożenia. XDR skupia się na zachowaniach, których indywidualne produkty nie są w stanie wychwycić.
W przypadku analizy XDR im więcej reguł, źródeł i warstw, tym lepiej. Ważna jest jednak także jakość danych. Jeśli przeprowadzone analizy nie będą wystarczającą dogłębne, to może się okazać, że zgromadzone dane na niewiele się przydały.
Zasady i techniki wykrywania: przez infrastrukturę chmurową regularnie są dostarczane nowe lub ulepszone reguły i modele wykrywania zagrożeń pozwalające monitorować różne rodzaje podejrzanych ciągów zdarzeń. Częstsze używanie technik wykrywania opartych na machine learning umożliwia ich ciągłe doskonalenie w celu zwiększenia skuteczności wykrywania i zmniejszenia liczby fałszywych alarmów.
Źródła: Analiza i badanie zagrożeń umożliwiają nadążanie przez modele wykrywania za zmianami w ogólnej sytuacji. Modele wykrywania powinny wykorzystywać zarówno wewnętrzne, jak i zewnętrzne informacje o zagrożeniach, takie jak taktyki i techniki MITRE ATT&CK™.
Warstwy: Im więcej warstw zabezpieczeń, tym większe są możliwości analityki międzywarstwowej platformy, co z kolei przekłada się na zwiększenie wartości dla klienta.