Czym jest telemetria XDR

Telemetria XDR odnosi się do danych zbieranych przez określone rozwiązania bezpieczeństwa, dotyczące m.in. poczty elektronicznej, punktów końcowych, serwerów, obciążeń chmury i sieci. Jako że każda warstwa zabezpieczeń i każde rozwiązanie zawierają różne typy danych dotyczących aktywności, platforma XDR zbiera dane telemetryczne w celu wykrywania nieznanych zagrożeń i wspomagania analizy przyczyn.

Typy telemetrii wg warstwy zabezpieczeń

Rozwiązania zabezpieczające zbierają dane dotyczące różnych zdarzeń mających miejsce w trakcie dnia. Obejmują one na przykład informacje na temat plików otwieranych przez użytkownika, czy modyfikacji rejestru. Niektóre typy gromadzonych danych:

Zdarzenia sieciowe

  • Wzorce przepływu ruchu sieciowego
  • Połączenia obwodowe i poziome
  • Podejrzany ruch sieciowy
  • Odciski palca (JA3) TLS (wcześniej SSL)

Chmura

  • Zmiany konfiguracji
  • Nowe i zmienione instancje
  • Aktywność na kontach użytkowników
  • Procesy
  • Wykonane polecenia
  • Połączenia sieciowe
  • Utworzone i otwierane pliki
  • Zmiany w rejestrze

Poczta elektroniczna

  • Metadane wiadomości (zewnętrzna i wewnętrzna poczta elektroniczna)
  • Metadane załączników
  • Łącza zewnętrzne
  • Aktywność użytkowników (np. logowania)

Punkty końcowe

  • Procesy
  • Wykonane polecenia
  • Połączenia sieciowe
  • Utworzone i otwierane pliki
  • Zmiany w rejestrze

Korzyści ze zgromadzonych danych telemetrycznych

Platformy XDR wyróżnia jednak to, jakie dane zbierają i co z nimi robią.

Platforma XDR bazująca głównie na własnym systemie bezpieczeństwa dokładniej rozumie informacje, dzięki czemu może zbierać dokładnie takie dane, jakich potrzebuje do optymalizacji modeli analitycznych do wykrywania korelacyjnego, prowadzenia szczegółowych dochodzeń oraz wyszukiwania zagrożeń.

Dostawcy czerpiący dane głównie od produktów podmiotów trzecich od początku słabiej orientują się w znaczeniu powiązanych informacji. Uzyskiwane przez nich dane telemetryczne mogą być nieodpowiedniego typu lub zbyt ubogie, aby pozwolić w pełni zrozumieć kontekst występujących zagrożeń.

Choć dane telemetryczne, metadane i dane dotyczące przepływu sieciowego sprawdza się rutynowo, nie zawierają one informacji o powiązanej aktywności, które są niezbędne do przeprowadzenia analiz i wyciągnięcia praktycznych wniosków.

Znajomość struktury i sposobu przechowywania danych telemetrycznych jest równie ważna jak ich rodzaj. W zależności od rodzaju danych dotyczących aktywności, do optymalnego zbierania, przeglądania i wykorzystywania danych lepsze są różne bazy danych i schematy.

Na przykład do przechowywania danych sieciowych najlepsza może być grafowa baza danych, natomiast dla danych dotyczących punktów końcowych lepsze może okazać się otwarte rozwiązanie wyszukiwania i analizy Elasticsearch.

Zróżnicowanie sposobów przechowywania różnych typów danych telemetrycznych może znacznie usprawnić skuteczność wykrywania, korelacji i wyszukiwania na ich podstawie.

Telemetria XDR vs powiadomienia SIEM

Podczas gdy narzędzie SIEM skutecznie gromadzi dzienniki zdarzeń i alarmy, nie jest już tak sprawne w łączeniu wielu alarmów zidentyfikowanych w trakcie tego samego incydentu. To wymagałoby oceny podstawowych danych telemetrycznych z różnych warstw zabezpieczeń.

Dzięki danym telemetrycznym alarmy XDR mogą uwzględniać informacje alarmowe i inne krytyczne działania pozwalające zidentyfikować podejrzaną lub złośliwą aktywność. Na przykład samo uruchomienie konsoli PowerShell nie musi wywołać alarmu SIEM, ale XDR może powiązać aktywność na różnych warstwach zabezpieczeń, w tym także w punktach końcowych. 

Platforma XDR może analizować zebrane dane telemetryczne za pomocą modeli wykrywania, aby identyfikować zagrożenia i wysyłać mniej fałszywych alarmów do systemu SIEM, co pozwala odciążyć analityków ds. zabezpieczeń.

Powiązane artykuły