Телеметрия XDR относится к данным, собираемым определенными защитными решениями, включая, в том числе, решения для безопасности электронной почты, конечных устройств, сервера, облачных сред и сетей. Поскольку каждый уровень безопасности и каждое решение содержат различные типы данных об активности, платформа XDR собирает данные телеметрии для обнаружения и поиска неизвестных угроз, а также для анализа первопричин.
Типы телеметрии
Решения для безопасности собирают данные о различных событиях, происходящих в течение дня. К ним относятся, например, осуществление пользователем доступа к определенному файлу или внесение изменений в реестр на каком-либо устройстве. Типы собираемых данных включают, но не ограничиваются приведенными ниже.
События в сети
Облачные нагрузки
Электронная почта
Конечные устройства
Правильное применение телеметрии
Платформы XDR выделяются благодаря типу собираемых данных и тому, как они используются.
Платформа XDR, созданная на основе собственного стека безопасности, имеет преимущество в виде более глубокого понимания данных. Это позволяет платформе собирать именно то, что необходимо для оптимизации аналитических моделей для коррелированного обнаружения, углубленного исследования и поиска угроз.
Поставщики, которые в основном получают данные от сторонних продуктов, к сожалению, располагают меньшим пониманием связанных данных. Скорее всего, таким поставщикам не хватает типа и глубины телеметрии, необходимых для полного понимания контекста угрозы.
Хотя обычная практика заключается в изучении телеметрии, метаданных и трафика через протокол NetFlow, такие предупреждающие данные на самом деле не предоставляют информацию о связанных действиях, необходимую для выполнения аналитики и получения полезных сведений.
Наряду с пониманием собранной телеметрии так же важно понимание того, как телеметрические данные структурированы и как они хранятся. Для сбора, запроса и использования данных о разных типах активности подходят разные базы данных и схемы.
Если взять в качестве примера сетевые данные, наиболее эффективной будет графическая база данных, но для данных от конечных устройств предпочтительнее открытая система поиска и аналитики Elasticsearch.
Использование разных структур озер данных для разных типов телеметрии значительно расширяет возможности применения данных для обнаружения, корреляции и поиска угроз.
Телеметрия XDR и оповещения SIEM
Системы управления информацией и событиями безопасности (SIEM) эффективно агрегируют данные для журналов и оповещений, но они не могут так же хорошо, как XDR, показать связи между разными оповещениями, относящимися к одному инциденту безопасности. Для этого необходимо анализировать базовую телеметрию, связанную с инцидентом, по всем уровням безопасности.
Благодаря телеметрии в оповещениях XDR учитывается вся активность, на которую стоит обратить внимание для выявления подозрительных или вредоносных действий. Например, активность PowerShell сама по себе может не отразиться в оповещениях SIEM, но XDR может оценить и соотнести активности на нескольких уровнях безопасности, включая конечное устройство.
Обрабатывая телеметрию с помощью моделей обнаружения, платформа XDR лучше выявляет угрозы и уменьшает количество оповещений, пересылаемых системе SIEM. Поскольку оповещения при этом более информативны, это также снижает нагрузку на аналитиков по безопасности.