Genişletilmiş tespit ve yanıt (XDR) güvenlik analitiği, şüpheli bir dizi etkinliği belirlemek için yüksek hacimli bilgileri inceler. Bu bulut analitiği, toplanan tüm etkinlik verileri arasında gizlenmiş sıfırıncı gün ve hedefli saldırılar gibi tehditleri bulur.
XDR Güvenlik Analitiği: XDR’ın merkezi
Güvenlik analitiği, farklı protokollerden, farklı ürünlerden ve farklı güvenlik katmanlarından gelen çok çeşitli telemetri akışlarının zorluklarını ele almak için XDR'nin merkezinde yer alır. XDR özellikle uç noktalardan, sunuculardan, bulut iş yüklerinden, e-postadan ve ağlardan gibi genel olarak birçok farklı vektörden gelen etkinlik verilerini içerir.
Güvenlik analitik motoru verileri işler ve tanımlanmış filtrelere, kurallara veya modellere dayalı olarak bir uyarıyı tetikler. Analitik, güvenlik olaylarını ve önem derecelerini belirlemek için XDR platformuna gelen bilgileri birbirine bağlayan unsurdur.
XDR, tespit için makine öğrenimi, veri yığınlama veya diğer büyük veri analizleri dahil olmak üzere en iyi analitik tekniği veya tekniklerin kombinasyonunu kullanır . XDR, etkinlik verilerini analiz eder ve karmaşık, çok adımlı saldırıları belirlemek adına güvenlik katmanlarında farklı davranış kalıpları arar.
Güvenlik analitiği ve tespit modelleri
XDR güvenlik analitiği, farklı güvenlik katmanları içinde ve genelinde düşük güvenilir olayları, davranışları ve/veya eylemi ilişkilendirir.
Bir güvenlik analisti şüpheli etkinliğin izole parçalarını görmek yerine, örneğin, şüpheli bir kimlik avı e-postası için bir uyarı ve belki de şüpheli bir web alanı erişimi için başka bir izole uyarının aksine XDR bir dizi olayı ilişkilendirebilir ve kötü niyetli olarak tanımlayabilir. XDR, şüpheli kimlik avı e-postasını bir uç noktada nadir görülen web alan adı erişimiyle ve ardından bir komut dosyası çalıştırıldıktan sonra bir dosya indirmesiyle ilgili olarak görür. Bu, daha sonra araştırmak için yüksek kaliteli bir XDR kötü amaçlı etkinlik algılamasına yol açacaktır.
XDR, algılanan bireysel olayları ve diğer etkinlik verilerini alır, bilgileri karşılıklı ilişkilendirir ve ardından daha karmaşık ve başarılı bir algılama sağlamak için bulut analitiğini uygular. XDR, ayrı ayrı ürünlerin tek başına göremediği davranışlara odaklanır.
Daha fazlası daha mı iyi?
XDR analitiği söz konusu olduğunda, ne kadar fazla kural, kaynak ve katman mevcutsa o kadar iyidir. Ama aynı zamanda verinin kalitesi de önemlidir. Bulgularınızın kalitesi ve analizi öngörülü değilse, veri toplamak mutlaka yararlı olmayabilir.
Tespit kuralları ve teknikler: Bulut altyapısından yararlanılarak, şüpheli etkinlikler dizisini aramak için yeni veya geliştirilmiş tehdit algılama kuralları ve modelleri düzenli olarak dağıtılır. Daha fazla kullanım sayesinde, makine öğrenimi algılama teknikleri, algılama etkinliğini artırmak ve yanlış pozitifleri azaltmak için kuralları sürekli olarak iyileştirebilir.
Kaynaklar: Tehdit araştırması ve tehdit istihbaratı, tehdit ortamı geliştikçe yeni algılama modellerinin gelişmesini sağlar. Tespit modelleri, MITRE ATT&CK™ taktikleri ve teknikleri gibi dahili ve harici tehdit bilgilerini entegre etmelidir.
Katmanlar: Eklenen daha fazla güvenlik katmanı, platformun katmanlar arası analitik yetenekleri ve dolayısıyla kullanıcı için katlanarak daha fazla değer sağlar.