XDR Telemetrisi Nedir?

XDR telemetrisi, e-posta, uç nokta, sunucu, bulut iş yükü ve ağ dahil ancak bunlarla sınırlı olmamak üzere belirli güvenlik çözümleri tarafından toplanan verileri ifade eder. Her güvenlik katmanı veya çözümü, farklı türlerde etkinlik verileri içerdiğinden, bir XDR platformu, bilinmeyen tehditleri tespit etmek ve aramak için telemetri toplar ve temel neden analizine yardımcı olur.

Güvenlik katmanına göre telemetri türleri

Güvenlik çözümleri, gün içinde meydana gelen çeşitli olaylar hakkında veri toplar. Bu olaylar, kullanıcı tarafından erişilen dosya bilgilerinden bir cihazdaki kayıt defteri değişikliğine kadar değişiklik gösterir. Toplanan veri türlerinin örnekleri aşağıdakileri içerir ancak bunlarla sınırlı değildir:

Ağ Etkinlikleri

  • Trafik akış düzenleri
  • Yapılan çevre ve yanal bağlantılar
  • Şüpheli trafik davranışları
  • TLS (daha önceden SSL) parmak izleri (JA3)

Bulut iş yükleri

  • Yapılandırma değişiklikleri
  • Yeni/Değişen sunucular
  • Kullanıcı hesabı etkinliği
  • İşlemler
  • Yürütülen komutlar
  • Ağ bağlantıları
  • Oluşturulan ve erişilen dosyalar
  • Kayıt defteri değişiklikleri

E-posta

  • Mesaj meta verileri (harici ve dahili e-postalar)
  • Eklentilerin meta verileri
  • Harici bağlantılar
  • Oturum açma gibi kullanıcı etkinlikleri

Uç Noktalar

  • İşlemler
  • Yürütülen komutlar
  • Ağ bağlantıları
  • Oluşturulan ve erişilen dosyalar
  • Kayıt defteri değişiklikleri

Toplanan telemetri nasıl bir fark yaratır?

XDR platformlarını farklı kılan, toplanan verilerin türü ve nasıl kullanıldığıdır.

Öncelikle kendi yerel güvenlik yığını üzerine kurulmuş bir XDR platformu, verileri derinlemesine anlama avantajına sahiptir. Bu, platformun ilişkili algılama, derinlemesine araştırma ve tehditleri bulmada analitik modelleri optimize etmek için gerekenleri tam olarak toplamasını sağlar.

Öncelikle üçüncü taraf ürünlerinden veri çeken satıcılar, ne yazık ki ilgili verileri daha az anlayarak başlar. Bu satıcılar, bir tehdidin tam bağlamını anlamak için gereken telemetri türünü ve derinliğini büyük olasılıkla kaçırmaktadır.

Telemetri, meta veriler ve NetFlow'a bakmak yaygın bir uygulama olsa da, bu uyarı verileri aslında analitiği yürütmek ve eyleme dönüştürülebilir içgörüleri güçlendirmek için gereken ilgili etkinlik bilgilerini sağlamaz.

Telemetrinin yapılandırılma ve saklanma şeklini anlamak, toplanan telemetriyi anlamak kadar önemlidir. Etkinlik verilerine bağlı olarak, farklı veritabanları ve düzenler, verilerin nasıl toplandığını, sorgulandığını ve kullanıldığını optimize etmede daha iyidir.

Örnek olarak ağ verilerini kullanırsak, grafik veritabanı en verimlisi olacaktır, ancak uç nokta verileri için açık arama ve analitik motoru Elasticsearch tercih edilmektedir.

Farklı telemetri için ayarlanmış çeşitli veri kümesi yapılarına sahip olmak, tespit, korelasyon ve arama için veri verimliliğinde ve etkinliğinde önemli bir fark yaratabilir.

XDR Telemetrisi ve SIEM Uyarıları

SIEM, günlükleri ve uyarıları toplamada etkili olsa da, aynı olayla tanımlanan birden çok uyarıyı birbirine bağlamada o kadar verimli değildir. Bu, güvenlik katmanları arasında kök telemetri düzeyinde bir değerlendirme gerektirir.

Telemetriden yararlanan XDR uyarıları, uyarı bilgilerinin yanı sıra şüpheli veya kötü amaçlı etkinlikleri belirlemek için tasarlanmış diğer kritik etkinlikleri de dikkate alır. Örneğin, PowerShell etkinliği tek başına bir SIEM uyarısıyla sonuçlanmayabilir. ancak XDR, uç nokta dahil olmak üzere çeşitli güvenlik katmanlarındaki etkinlikleri değerlendirebilir ve ilişkilendirebilir.

XDR platformu, toplanan telemetri üzerinde tespit modellerini çalıştırarak, SIEM'e daha az sayıda, daha yüksek güvenliğe sahip uyarılar belirleyip gönderir. Bu, güvenlik analistlerinin ihtiyaç duyduğu triyaj miktarını azaltır.

İlgili Makaleler