O que é XDR?

O XDR (detecção e resposta estendidas) coleta e correlaciona automaticamente os dados em várias camadas de segurança – e-mail, endpoint, servidor, workload em nuvem e rede. Isso permite uma detecção mais rápida de ameaças e melhor investigação e tempos de resposta por meio de análises de segurança.

XDR

Ameaças evasivas conseguem escapar de sua detecção. Eles se escondem entre silos de segurança e alertas de soluções desconectadas, propagando-se com o passar do tempo. Nesse ínterim, analistas de segurança sobrecarregados tentam fazer a triagem e investigar com pontos de vista de ataque estreitos e desconectados.

O XDR desfaz estes silos com uma abordagem holística de detecção e resposta. O XDR coleta e automaticamente correlaciona dados em diversas camadas de segurança – emails, endpoints, servidores, workloads de nuvem e redes. A análise automatizada desse superconjunto de dados ricos detecta ameaças com mais rapidez. Como resultado, os analistas de segurança estão equipados para fazer mais e agir mais rapidamente por meio de investigações.

Esta é uma imagem de diferentes camadas de segurança que podem alimentar o XDR.


Descubra mais das camadas de segurança que podem alimentar o XDR.

Desafios do SOC

Quando se trata de detecção e resposta, os analistas do centro de operações de segurança (SOC) enfrentam uma responsabilidade assustadora. Eles devem identificar rapidamente ameaças críticas para limitar os riscos e danos à organização. 

Sobrecarga de alertas

Não é nenhuma surpresa que as equipes de TI e segurança muitas vezes estejam sobrecarregadas com alertas provenientes de soluções diferentes. Uma empresa com uma média de 1.000 funcionários pode ver um pico de até 22.000 eventos por segundo em seu sistema de gerenciamento de informações e eventos de segurança (SIEM). São quase 2 milhões de eventos em um dia. [1]  Eles têm meios limitados para correlacionar e priorizar esses alertas e lutam para eliminar o ruído de forma rápida e eficaz para eventos críticos. O XDR une automaticamente uma série de atividades de baixa confiança em um evento de alta confiança, navegando em menos e mais alertas priorizados para ação.

Lacunas de visibilidade entre as soluções de segurança

Muitos produtos de segurança fornecem visibilidade da atividade. Cada solução oferece uma perspectiva específica e coleta e fornece dados relevantes e úteis para essa função.. A integração entre as soluções de segurança pode permitir a troca e consolidação de dados. O valor é frequentemente limitado pelo tipo e profundidade dos dados coletados e o nível de análise correlacionada possível. A integração entre as soluções de segurança pode permitir a troca e consolidação de dados. O XDR, por outro lado, coleta e fornece acesso a um data lake completo de atividades em ferramentas de segurança individuais, incluindo detecções, telemetria, metadados e fluxo de rede. Aplicando análises sofisticadas e inteligência contra ameaças, o XDR fornece o contexto completo necessário para uma visão centrada no ataque de uma cadeia inteira de eventos em camadas de segurança.

Investigações difíceis empreender

Diante de uma série de logs e alertas, mas sem indicadores claros, é difícil saber o que procurar. Se você encontrar um problema ou ameaça, é difícil mapear seu caminho e impacto em toda a organização. Realizar uma investigação pode ser uma atividade demorada e muito manual, mesmo se tiver os recursos certos. O XDR automatiza as investigações de ameaças eliminando etapas manuais e fornece dados e ferramentas valiosos para análise que de outra forma seriam impossíveis. Considere, por exemplo, a análise automatizada de causa raiz. Um analista pode ver claramente a linha do tempo e o caminho de ataque que pode cruzar e-mail, endpoints, servidores, workloads em nuvem e redes. O analista agora pode avaliar cada etapa do ataque para executar a resposta necessária.

Tempos de detecção e resposta lentos

O resultado desses desafios é que as ameaças não são detectadas por muito tempo, aumentando o tempo de resposta e o risco e as consequências de um ataque. No final das contas, o XDR leva a melhorias que mais são necessárias nas taxas de detecção de ameaças e nos tempos de resposta. Cada vez mais, as organizações de segurança estão medindo e monitorando o tempo médio de detecção (MTTD) e o tempo médio de resposta (MTTR) como indicadores de desempenho essenciais. Da mesma forma, eles avaliam o valor da solução e os investimentos em termos de como eles conduzem essas métricas e, assim, reduzem os riscos de negócios da empresa.

XDR vs. EDR

O XDR representa a evolução da detecção e resposta para além das soluções pontuais, com abordagem de vetor único.

Claramente, detecção e resposta no endpoint (EDR) tem enorme valor. No entanto, apesar da profundidade de sua capacidade, o EDR é restrito porque só pode detectar e responder a ameaças dentro de endoints gerenciados. Isso limita o escopo das ameaças que podem ser detectadas, bem como a visão de quem e o que é afetado. Em última análise, essas restrições limitam a eficácia da resposta dentro do SOC.

Da mesma forma, o alcance das ferramentas de análise de tráfego de rede (NTA) é limitado à rede e aos segmentos de rede monitorados. As soluções NTA tendem a gerar um grande número de logs. A correlação entre alertas de rede e outros dados de atividade é fundamental para fazer sentido e gerar valor a partir de alertas de rede.

Melhorando o SIEM

As organizações usam o SIEM para coletar logs e alertas de diversas soluções. Embora os SIEMs permitam que as empresas reúnam muitas informações de vários locais para visibilidade centralizada, eles resultam em um número esmagador de alertas individuais. Estes alertas são difíceis de serem analisados para que se entenda o que é importante e requer atenção. Correlacionar e conectar todos os logs de informações para obter uma visão do contexto mais amplo é um desafio com apenas uma solução SIEM.

Por outro lado, o XDR coleta dados de atividades profundas e as alimenta em um data lake para varredura, caça e investigação estendidas nas camadas de segurança. Aplicar IA e analytics nível expert neste dados permite gerar menos e mais contextualizados alertas, que podem ser enviados à solução SIEM da empresa. O XDR não substitui o SIEM, ele o aumenta - reduzindo o tempo necessário para que os analistas de segurança avaliem os alertas e logs relevantes e decidam o que precisa de atenção e garante investigações mais profundas.

Algumas Verdades sobre Recursos

Diversas camadas de segurança além do endpoint

  • Para realizar atividades estendidas de detecção e resposta, você precisa de pelo menos duas camadas - e quanto mais, melhor - endpoint, email, rede, servidores e workloads em nuvem.
  • O XDR alimenta dados de atividade de várias camadas para um data lake. Todas as informações aplicáveis são disponibilizadas para correlação e análise eficazes na estrutura mais relevante.
  • Extrair da stack de segurança nativa de um único fornecedor evita a proliferação de fornecedores/soluções. Ele também fornece uma profundidade incomparável de integração e interação entre os recursos de detecção, investigação e resposta.

Analytics de segurança com IA e alta expertise

  • A coleta de dados é um benefício do XDR, mas a aplicação de análises e inteligência para conduzir uma detecção melhor e mais rápida é crítica.
  • À medida que a coleta de telemetria se torna uma mercadoria, a análise de segurança, combinada com inteligência de ameaças, gera valor que pode transformar informações em insight e ação.
  • Um mecanismo de análise alimentado por sensores nativos inteligentes oferece análises de segurança mais eficazes do que poderiam ser obtidas com produtos de terceiros e telemetria. Qualquer fornecedor terá uma compreensão muito mais profunda dos dados de suas próprias soluções do que os dados de terceiros. Você pode garantir recursos analíticos otimizados, dando prioridade às soluções XDR que são desenvolvidas especificamente para a stack de segurança nativa de um fornecedor.

Plataforma única, integrada e automatizada para uma visibilidade completa

  • O XDR permite investigações mais detalhadas, porque você pode fazer conexões lógicas a partir dos dados fornecidos em uma única exibição.
  • Ter uma exibição gráfica da linha do tempo centrada no ataque pode fornecer respostas em um único local, incluindo:
  • Como o usuário foi infectado
  • Qual foi ponto de entrada do ataque
  • O que ou quem mais foi afetado no mesmo ataque
  • Onde a ameaça se originou
  • Como a ameaça se espalhou
  • Quantos usuários têm acesso à mesma ameaça
  • O XDR aumenta as capacidades dos analistas de segurança e agiliza os fluxos de trabalho. Ele otimiza os esforços das equipes ao acelerar ou eliminar etapas manuais e permite visualizações e análises que não podem ser feitas de forma manual.
  • A integração com SIEM e orquestração, automação e resposta de segurança (SOAR) permite que os analistas orquestrem o insight XDR com o ecossistema de segurança mais amplo.

Artigos Relacionados