XDR 監測資料是經由特定保安方案搜集的數據,包括但不限於電郵、用戶端、伺服器、雲端工作負載及網絡。由於不同保安層或方案包含了不同種類的活動數據,XDR 平台搜集監測資料來偵測及搜索未知威脅,以協助進行根本原因分析。
以保安層劃分的監測資料種類
保安方案收集每天發生的不同事故的數據,包括用戶存取檔案以至一個裝置上的目錄被更改。被收集的數據種類包括,但不限於:
網絡事故
雲端工作負載
電郵
用戶端
蒐集的監測資料如何發揮作用
XDR 平台之所以獨特,在於它所蒐集的資料類型以及這些資料的用途。
一套以原生資安防護為基礎的 XDR 平台所具備的一項獨特優勢,就是對資料有更深入的理解,因此該平台就可以精準地取得能讓數據分析模型最佳化的資料,進而實現關聯偵測、深入調查以及威脅追蹤能力。
而那些以第三方產品的資料為主的廠商,從一開始就對資料沒有這麼深入的掌握,因此,他們很可能未能取得所需的監測資料種類與深度,令他們無法徹底掌握威脅的全貌。
雖然分析監測資料、元數據及 NetFlow 已是慣例,但這樣的警示資料無法提供具關連性的活動資訊來執行數據分析,以產生可作行動參考啟示所需的相關活動訊息。
了解監測資料的架構及其儲存方式十分重要,並不比了解所收集監測資料的重要性為低。視乎活動數據而定,不同數據庫及模式更好用作最佳化搜集、查詢及使用數據的方法。
以網絡數據為例,圖表數據庫可能更有效率,低對用戶端數據而言,開放式搜尋及分析引擎 Elasticsearch 可能更適合。
為不同監測資料設立多個數據池結構可能大幅加強使用數據在偵測、關聯及搜尋的效率。
XDR 監測資料與 SIEM 警報的分別
SIEM 精於集合所有目錄及警報,但它在連繫同一事件中多重警報的效率卻並不足夠。因為這需要在不同保安層評估根源監測資料。
透過監測資料,XDR 警報不單考慮警示資訊,亦包括其他關鍵活動以辨識可疑及惡意行動。例如,PowerShell 活動本身並不會引發 SIEM 警示,但 XDR 可以登入包括用戶端的多個保安層及關聯不同活動。
在收集的監測資料進行偵測,XDR 平台可以識別及向 SIEM 發出數量較少但可信度較高的警示,減低保安分析人員的壓力。