A telemetria XDR refere-se aos dados coletados por soluções de segurança específicas – incluindo, mas não se limitando a e-mail, endpoint, servidor, workload em nuvem e rede. Como cada camada ou solução de segurança contém vários tipos de dados de atividade, uma plataforma XDR coleta telemetria para detectar e caçar ameaças desconhecidas e auxiliar na análise da causa raiz.
Tipo de telemetria por camada de segurança
As soluções de segurança coletam dados sobre uma variedade de eventos que ocorrem em um dia. Esses eventos variam de informações de arquivos acessados pelo usuário até modificações de registro em um dispositivo. Exemplos dos tipos de dados coletados incluem, mas não estão limitados a, o seguinte:
Eventos de rede
Workloads na nuvem
Endpoints
Como a telemetria coletada faz a diferença
O que diferencia as plataformas XDR é o tipo de dados coletados e como eles são usados.
Uma plataforma XDR construída principalmente em sua própria pilha de segurança nativa tem a vantagem de um entendimento mais profundo dos dados. Isso permite que a plataforma colete precisamente o que é necessário para otimizar modelos analíticos para detecção correlacionada, investigação aprofundada e caça a ameaças.
Os fornecedores que buscam principalmente dados de produtos de terceiros, infelizmente, começam com uma compreensão menor dos dados associados. Esses fornecedores provavelmente não têm o tipo e a profundidade de telemetria necessários para entender o contexto completo de uma ameaça.
Embora seja uma prática comum olhar para telemetria, metadados e NetFlow, esses dados de alerta, na verdade, não fornecem informações de atividades relacionadas necessárias para executar análises e gerar insights acionáveis.
Compreender a forma como a telemetria é estruturada e armazenada é tão importante quanto compreender a telemetria coletada. Dependendo dos dados da atividade, diferentes bancos de dados e esquemas são melhores na otimização de como os dados são capturados, consultados e usados.
Usando dados de rede como exemplo, um banco de dados gráfico seria o mais eficiente, mas para dados de endpoints, a pesquisa aberta e o mecanismo de análise Elasticsearch seria preferível.
Ter várias estruturas de data lake configuradas para telemetria diferente pode fazer uma diferença significativa na eficiência e eficácia dos dados para detecção, correlação e pesquisa.
Telemetria XDR vs. alertas SIEM
Embora o SIEM seja eficaz na agregação de logs e alertas, não é tão eficiente na conexão de vários alertas identificados com o mesmo incidente. Isso exigiria uma avaliação no nível de telemetria raiz através das camadas de segurança.
Aproveitando a telemetria, os alertas XDR consideram as informações de alerta, bem como outras atividades críticas projetadas para identificar atividades suspeitas ou maliciosas. Por exemplo, a atividade do PowerShell por si só pode não resultar em um alerta de SIEM, mas o XDR é capaz de avaliar e correlacionar atividades em várias camadas de segurança, incluindo o endpoint.
Ao executar modelos de detecção na telemetria coletada, uma plataforma XDR pode identificar e enviar menos e mais alertas de confiança para o SIEM, reduzindo a quantidade de triagem exigida pelos analistas de segurança.