XDR 監測資料是指經由各防護產品所蒐集到的資料,包括但不限於:電子郵件、端點、伺服器、雲端工作負載以及網路。由於每一個防護層或解決方案都含有各種類型的活動資料,XDR 平台就是蒐集這些監測資料來偵測和追蹤未知威脅,同時也作為根源分析的輔助。
不同防護層的監測資料種類
資安解決方案會蒐集一天之內所發生的各種事件資料。這些事件從使用者存取的檔案資訊,到裝置上的系統登錄修改,應有盡有。以下列出一些 XDR 會蒐集的資料類型,但不僅止於這些資料:
網路事件
雲端工作負載
電子郵件
端點裝置
蒐集的監測資料如何發揮作用
XDR 平台之所以獨特,在於它所蒐集的資料類型以及這些資料的用途。
一套以原生資安防護為基礎的 XDR 平台所具備的一項獨特優勢,就是對資料有更深入的理解,因此該平台就可以精準地取得能讓數據分析模型最佳化的資料,進而實現交叉關聯偵測、深入調查以及威脅追蹤能力。
而那些以第三方產品的資料為主的廠商,卻一開始就對資料沒有這麼深入的掌握。因此,他們很可能無法取得所需的監測資料種類與深度,好讓他們徹底掌握威脅的全貌。
儘管一般的作法就是分析監測資料、Metadata 以及 NetFlow,但這樣的警報資料無法提供具關連性的活動資訊來執行數據分析,以便產生可用來採取行動的分析洞見。
除了對蒐集的資料有所掌握之外,了解監測資料的結構與儲存方式也很重要。視活動資料而定,不同的資料庫與結構將決定其資料最佳的擷取、查詢與使用方式。
就以網路資料為例,圖形資料庫 (graph database) 應該最有效率,但對於端點資料來說,開放式搜尋與數據分析引擎 Elasticsearch 或許更為恰當。
針對不同的監測資料採取不同的資料湖結構,對於運用這些資料來從事偵測、交叉關聯與搜尋的效率和效果會有很大影響。
XDR 監測資料與 SIEM 警報的差異
雖然 SIEM 很適合用來彙整記錄檔與警報,但對於串聯同一事件中的不同警報就不太有效率。因為這需要在根本層次上分析各防護層的監測資料。
在監測資料的協助下,XDR 在處理警報時不僅會參考警報本身的資訊,還會配合其他專門用來發掘可疑或惡意活動的重要活動資訊。比方說,PowerShell 活動本身或許不會導致 SIEM 發出警報,但 XDR 可評估和交叉關聯多個防護層 (包括端點層) 的活動資訊。
XDR 平台會將偵測模型套用至蒐集到的監測資料,因此可發掘出少量、但可信度較高的警報來傳送至 SIEM,進而減少資安分析師的資料分類負擔。