Аналитика безопасности системы расширенного обнаружения и реагирования (XDR) изучает большой объем информации для выявления серии подозрительных действий. Эта облачная аналитика находит угрозы, которые иначе было бы трудно выявить среди всех собранных данных об активности (например, угрозы нулевого дня и целевые атаки).
Аналитика безопасности: основа XDR
Аналитика безопасности лежит в основе XDR, так как именно она предоставляет возможность обрабатывать разнообразные телеметрические данные с разными протоколами, от разных продуктов и от разных уровней безопасности. Обычно решение XDR получает данные об активности от множества векторов — в частности, от конечных устройств, серверов, облачных нагрузок, электронной почты и сетей.
Аналитический модуль обрабатывает эти данные и генерирует оповещения на основе установленных фильтров, правил или моделей. Именно аналитика позволяет найти связи в поступающей информации, чтобы идентифицировать события безопасности и степень их серьезности.
Для обнаружения угроз XDR использует самые эффективные техники, включая машинное обучение, стэкинг данных и другие способы анализа больших данных. При обработке данных аналитика ищет определенные закономерности и взаимосвязи в активности на разных уровнях безопасности и таким образом выявляет сложные многоэтапные атаки.
Аналитика безопасности и модели обнаружения
Аналитика безопасности XDR сопоставляет события из разных уровней безопасности, которые сами по себе нельзя с уверенностью назвать подозрительными.
Вместо того, чтобы показывать специалисту по безопасности отдельные фрагменты подозрительной активности, XDR сопоставляет серию событий и может идентифицировать ее как вредоносную. В отличие, например, от одного предупреждения о подозрительном фишинговом письме и, возможно, другого изолированного предупреждения о доступе к подозрительному веб-домену, XDR связывает подозрительное фишинговое сообщение электронной почты с доступом к редкому веб-домену на конечной точке, за которым следует запуск скрипта и загрузка файла. Таким образом, XDR более четко показывает подозрительную активность, которую необходимо расследовать.
XDR проводит корреляцию среди отдельных событий и других данных, связанных с активностью, а затем обрабатывает результаты с помощью облачной аналитики. Это позволяет обнаруживать угрозы точнее и получать о них больше информации. XDR обнаруживает поведение, которое не могут заметить отдельные продукты.
Чем больше, тем лучше?
Когда речь идет об аналитике XDR, чем больше доступно правил, источников и уровней, тем лучше. Но важно также качество данных. Если качество данных и их анализ не способствуют пониманию угроз, сбор данных не обязательно будет полезным.
Правила и методы обнаружения: благодаря использованию облачной инфраструктуры клиентам постоянно предоставляются новые или улучшенные модели и правила обнаружения угроз для поиска серии подозрительных событий. Кроме того, нельзя забывать о машинном обучении — чем чаще оно задействуется, тем точнее позволяет обнаруживать угрозы, каждый раз снижая количество ложных срабатываний.
Источники:исследование и аналитика глобальных угроз позволяют создавать новые модели обнаружения, чтобы идти в ногу с меняющимися методами злоумышленников. Модели обнаружения должны использовать информацию об угрозах как из внутренних, так и из внешних источников, например, базы знаний MITRE ATT&CK™.
Уровни:чем больше уровней безопасности охватывает платформа XDR, тем шире ее возможности аналитики, а значит, тем больше пользы она приносит.