A análise de segurança de detecção e resposta estendida (XDR) examina um grande volume de informações para identificar uma série de atividades suspeitas. Essas análises de nuvem encontram ameaças – como ataques zero-day e direcionados – ocultas entre todos os dados de atividades coletados.
Análise de segurança XDR: o núcleo do XDR
A análise de segurança está no cerne do XDR, para lidar com o desafio das diversas fontes de telemetria que vêm de diferentes protocolos, produtos e camadas de segurança. O XDR normalmente inclui dados de atividade provenientes de muitos vetores diferentes - e-mail, endpoints, servidores, workloads em nuvem e redes em particular.
Um mecanismo de análise de segurança processa esses dados e dispara um alerta com base em filtros, regras ou modelos definidos. A análise é o que une as informações que chegam à plataforma XDR para identificar eventos de segurança e sua gravidade.
O XDR usa a melhor técnica analítica ou combinação de técnicas para fazer uma detecção – seja machine learning, data stacking ou outra análise de big data. A análise XDR examina os dados da atividade e procura diferentes padrões de comportamento nas camadas de segurança para identificar ataques complexos em várias etapas.
Análise de segurança e modelos de detecção
A análise de segurança XDR correlaciona eventos, comportamentos e/ou ações de baixa confiança dentro e entre as diferentes camadas de segurança.
Em vez de um analista de segurança ver fragmentos isolados de atividades suspeitas, o XDR pode correlacionar uma série de eventos e identificá-los como maliciosos – ao contrário de um alerta para um e-mail de phishing suspeito e talvez outro alerta isolado para um acesso de domínio da web suspeito, por exemplo. O XDR pode ver o e-mail suspeito de phishing como relacionado ao acesso raro ao domínio da web em um endpoint, seguido posteriormente por um arquivo baixado após a execução de um script. Isso levaria a uma detecção XDR de alta fidelidade de atividades maliciosas a serem investigadas.
O XDR pega eventos individuais detectados e outros dados de atividade, correlaciona as informações e, em seguida, aplica a análise de nuvem para emitir uma detecção mais sofisticada e bem-sucedida. A XDR se concentra no comportamento que os produtos individuais não podem ver sozinhos.
Quanto mais, melhor?
Quando se trata de análises XDR, quanto mais regras, fontes e camadas disponíveis, melhor. Mas também a qualidade dos dados é importante. Se a qualidade e a análise de suas descobertas não forem criteriosas, sua coleta de dados não será necessariamente útil.
Regras e técnicas de detecção: Ao aproveitar a infraestrutura em nuvem, novas regras e modelos de detecção de ameaças aprimorados são regularmente lançados para buscar séries suspeitas de atividades. Com mais uso, as técnicas de detecção de machine learning podem refinar continuamente as regras para melhorar a eficácia da detecção e reduzir falsos positivos.
Fontes: A pesquisa e a inteligência de ameaças permitem que novos modelos de detecção evoluam à medida que o cenário de ameaças evolui. Os modelos de detecção devem integrar informações de ameaças internas e externas, como as táticas e técnicas MITRE ATT&CK™.
Camadas: Quanto mais camadas de segurança forem adicionadas, maiores serão os recursos analíticos entre camadas da plataforma e, portanto, valor exponencialmente maior para o usuário.