[[404440]]

XDR介紹

自2020年以來(lái)， XDR(擴(kuò)展檢測(cè)和響應(yīng))就成為了網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)熱詞，尤其是隨著疫情和網(wǎng)絡(luò)威脅帶來(lái)的新變化，XDR的熱度持續(xù)上升。XDR是一種新的技術(shù)，更是一種解決方案型的產(chǎn)品，為檢測(cè)和響應(yīng)帶來(lái)了新的可能性。比如Gartner在2020年的《Top Security and Risk Management Trends》報(bào)告中提到的第一項(xiàng)技術(shù)和解決方案就是XDR。在代表趨勢(shì)的Hype Cycle中，有兩個(gè)重點(diǎn)的Hype Cycle都提到了XDR這個(gè)關(guān)鍵技術(shù)。同時(shí)，國(guó)外各大廠商也在不斷的宣傳自己的XDR解決方案，包括Palo Alto Networks、Trend Micro、Cisco、McAfee等。 此外，在2020年Gartner線上的Summit在主題演講《Top Trends in Security and Risk Management》中的八大趨勢(shì)中，第一個(gè)也是XDR，作為SIEM和SOAR的替代方案出現(xiàn)在主流市場(chǎng)中。

現(xiàn)在普遍認(rèn)為XDR源于EDR(端點(diǎn)檢測(cè)與響應(yīng))。EDR是一種安全工具，監(jiān)視與網(wǎng)絡(luò)相連的終端用戶硬件設(shè)備上的可疑活動(dòng)與行為，并自動(dòng)響應(yīng)以阻斷察覺(jué)到的威脅，同時(shí)為進(jìn)一步調(diào)查留存取證數(shù)據(jù)。從名字上可以看出，XDR跟EDR的關(guān)系最近，同時(shí)終端類(lèi)型的安全產(chǎn)品也是在事件響應(yīng)中最重要的產(chǎn)品。但是XDR是一種解決方案型的產(chǎn)品，在安全運(yùn)營(yíng)體系中加入了一些有實(shí)際安全價(jià)值的產(chǎn)品中，以此來(lái)提高整體的檢測(cè)和響應(yīng)效率。

XDR在Gartner的定義是：SaaS類(lèi)型的安全威脅檢測(cè)和響應(yīng)平臺(tái)，集成了大量的產(chǎn)品，并統(tǒng)一了相關(guān)license收費(fèi)，具體產(chǎn)品功能視廠商而有所不同。XDR產(chǎn)品主要有三大價(jià)值：1. 直接集成安全產(chǎn)品開(kāi)箱即用;2. 有統(tǒng)一的安全數(shù)據(jù)歸一化和中心化可供分析和查詢;3.由于有多種產(chǎn)品的配合和協(xié)調(diào)，因此可以改進(jìn)檢測(cè)的敏感性;4.多產(chǎn)品聯(lián)動(dòng)處理改變單一產(chǎn)品的響應(yīng)過(guò)程。XDR產(chǎn)品的最小集合需要有威脅情報(bào)的持續(xù)更新，以及需要數(shù)據(jù)的歸一化和中心化處理以便分析和關(guān)聯(lián)。標(biāo)準(zhǔn)化的解決方案需要SaaS的存儲(chǔ)，圖數(shù)據(jù)庫(kù)的支持分析，集成相關(guān)的安全產(chǎn)品，包括EDR、防火墻、SEG、CASB、CWPP等等。

XDR的價(jià)值，最直接就是兩個(gè)：一個(gè)就是能夠提高安全運(yùn)營(yíng)的效率和價(jià)值，增強(qiáng)檢測(cè)和響應(yīng)的能力，可以通過(guò)集成多種安全產(chǎn)品并統(tǒng)一進(jìn)行安全理解;另一個(gè)就是降低安全運(yùn)營(yíng)的復(fù)雜度。一個(gè)統(tǒng)一的解決方案，可以統(tǒng)一在一個(gè)產(chǎn)品界面進(jìn)行安全問(wèn)題的解決，而不需要每個(gè)產(chǎn)品進(jìn)行單獨(dú)的對(duì)接調(diào)整，降低了安全運(yùn)營(yíng)的對(duì)接成本和使用成本。XDR的核心優(yōu)勢(shì)體現(xiàn)在三個(gè)層面：1. 改進(jìn)保護(hù)、檢測(cè)和響應(yīng)的能力;2. 提高安全運(yùn)營(yíng)員工的效率;3. 降低獲得有效檢測(cè)和響應(yīng)能力的總體擁有成本(TCO)。

需要考慮的問(wèn)題

疫情以來(lái)，威脅形勢(shì)繼續(xù)發(fā)展并迅速擴(kuò)大。隨著從端點(diǎn)到網(wǎng)絡(luò)再到云的攻擊方法成倍增加，許多企業(yè)使用一流的解決方案來(lái)應(yīng)對(duì)每一種攻擊方法，以保護(hù)這些特定漏洞。然而，這些工具并沒(méi)有將整個(gè)技術(shù)堆棧中的安全問(wèn)題聯(lián)系起來(lái)。因此，安全數(shù)據(jù)是孤立地收集和分析的，沒(méi)有任何上下文或關(guān)聯(lián)。

隨著 XDR 越來(lái)越受到關(guān)注并成為關(guān)鍵的下一代安全工具，在使用 XDR 解決方案時(shí)，你應(yīng)該考慮以下五個(gè)問(wèn)題。

1. XDR 解決方案是否提供了豐富的跨堆?？梢?jiàn)性以及從多個(gè)數(shù)據(jù)源無(wú)縫獲取的能力?

EDR 解決方案非常適合從端點(diǎn)獲取安全相關(guān)信息。但是，它們?nèi)狈Ω櫡治黾夹g(shù)，無(wú)法為準(zhǔn)確描述可能跨越其他來(lái)源的攻擊者的行為和目標(biāo)提供可靠的分析。強(qiáng)大的 XDR 平臺(tái)通過(guò)啟用來(lái)自多個(gè)安全層和可能的攻擊點(diǎn)的跟蹤分析來(lái)解決跟蹤分析限制問(wèn)題。這使得持續(xù)監(jiān)控和管理傳入警報(bào)成為可能。此外，借助威脅情報(bào)源，XDR 系統(tǒng)可以主動(dòng)搜索隱藏的威脅。

Singularity XDR 可以使企業(yè)從任何技術(shù)產(chǎn)品或平臺(tái)實(shí)時(shí)無(wú)縫地提取結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)，打破數(shù)據(jù)孤島并消除關(guān)鍵盲點(diǎn)。通過(guò)Singularity最近收購(gòu)的 Scalyr，該解決方案可以讓安全團(tuán)隊(duì)在單個(gè)儀表板中查看由來(lái)自所有平臺(tái)的不同安全解決方案收集的數(shù)據(jù)，包括端點(diǎn)、云工作負(fù)載、網(wǎng)絡(luò)設(shè)備等。

Singularity XDR 使分析人員可以利用從多個(gè)不同解決方案中將事件信息聚合到單個(gè)情境化“事件”中所獲得的洞察力。它還為客戶提供中央執(zhí)行和分析層點(diǎn)集線器，以實(shí)現(xiàn)完整的企業(yè)可見(jiàn)性和自主預(yù)防、檢測(cè)和響應(yīng)，幫助組織從統(tǒng)一的角度應(yīng)對(duì)網(wǎng)絡(luò)安全挑戰(zhàn)。

2. XDR 解決方案是否提供跨不同安全層的自動(dòng)化上下文和關(guān)聯(lián)?

許多 EDR 解決方案需要(人工)安全團(tuán)隊(duì)進(jìn)行調(diào)查。但考慮到生成的警報(bào)數(shù)量，許多安全團(tuán)隊(duì)沒(méi)有足夠的資源來(lái)處理每一個(gè)事件。一個(gè)強(qiáng)大的 XDR 解決方案應(yīng)該通過(guò)人工智能和自動(dòng)化的內(nèi)置上下文和關(guān)聯(lián)來(lái)增強(qiáng)。

SentinelOne 獲得專(zhuān)利的 Storyline 技術(shù)在整個(gè)企業(yè)安全堆棧中提供實(shí)時(shí)、自動(dòng)化的設(shè)備構(gòu)建上下文和關(guān)聯(lián)，將斷開(kāi)連接的數(shù)據(jù)轉(zhuǎn)換為豐富的故事，并讓安全分析師了解他們環(huán)境中發(fā)生的完整事情。自動(dòng)將所有相關(guān)事件和活動(dòng)鏈接到一個(gè)具有唯一標(biāo)識(shí)符的故事情節(jié)中。這使安全團(tuán)隊(duì)可以在幾秒鐘內(nèi)查看所發(fā)生事件的完整上下文，而無(wú)需花費(fèi)數(shù)小時(shí)、數(shù)天或數(shù)周手動(dòng)關(guān)聯(lián)日志和鏈接事件。

SentinelOne 的行為引擎跟蹤整個(gè)環(huán)境中的所有系統(tǒng)活動(dòng)，包括文件/注冊(cè)表更改、服務(wù)啟動(dòng)/停止、進(jìn)程間通信和網(wǎng)絡(luò)活動(dòng)。它檢測(cè)作為惡意行為指標(biāo)的技術(shù)和策略，以監(jiān)控隱蔽行為，有效識(shí)別無(wú)文件攻擊、橫向移動(dòng)和主動(dòng)執(zhí)行 rootkit。 Singularity XDR 自動(dòng)將相關(guān)活動(dòng)關(guān)聯(lián)到統(tǒng)一警報(bào)中，提供活動(dòng)級(jí)別的洞察力，并允許企業(yè)跨不同方法關(guān)聯(lián)事件，以促進(jìn)將警報(bào)作為單個(gè)事件進(jìn)行分類(lèi)。

3. XDR 解決方案是否通過(guò)集成的威脅情報(bào)自動(dòng)豐富威脅?

隨著新的威脅的出現(xiàn)，外部環(huán)境的缺乏使得分析人員難以確定警報(bào)或指標(biāo)是否代表了對(duì)其組織的真正威脅。威脅情報(bào)提供有關(guān)威脅、漏洞和惡意指標(biāo)的最新信息，讓安全團(tuán)隊(duì)能夠?qū)Ｗ⒂谧钪匾氖虑椤＞臉?gòu)建的 XDR 解決方案支持來(lái)自多個(gè)來(lái)源的威脅情報(bào)集成，以幫助安全團(tuán)隊(duì)快速有效地確定警報(bào)的優(yōu)先級(jí)和分類(lèi)。

Singularity XDR 集成了威脅情報(bào)，用于檢測(cè)和豐富來(lái)自領(lǐng)先的第三方源和SentinelOne的專(zhuān)有來(lái)源，這些來(lái)源通過(guò)實(shí)時(shí)威脅情報(bào)自動(dòng)豐富端點(diǎn)事件。它使安全團(tuán)隊(duì)能夠獲得關(guān)于攻擊指標(biāo) (IoC) 的額外上下文風(fēng)險(xiǎn)評(píng)分，例如 IP、哈希、漏洞和域。例如，通過(guò)SentinelOne的 Recorded Future 集成，從 80多萬(wàn)個(gè)來(lái)源中自動(dòng)豐富威脅，使客戶能夠加速威脅調(diào)查和分類(lèi)功能?？蛻暨€可以利用 SentinelOne 研究策劃的搜索查詢庫(kù)，該庫(kù)不斷評(píng)估新方法，以發(fā)現(xiàn)新的 IOC 和戰(zhàn)術(shù)、技術(shù)和程序 (TTP)。

4. XDR 解決方案是否可以跨不同域自動(dòng)響應(yīng)?

當(dāng)然，事件檢測(cè)和調(diào)查需要觸發(fā)有效的響應(yīng)以緩解攻擊事件。響應(yīng)需要預(yù)先定義且可重復(fù)，以提高修復(fù)效率并干預(yù)正在進(jìn)行的攻擊的任何步驟。應(yīng)對(duì)措施應(yīng)明確規(guī)定可用于緩解攻擊的短期和長(zhǎng)期措施。了解威脅產(chǎn)生的原因?qū)τ谔岣甙踩院头乐菇窈蟀l(fā)生類(lèi)似的攻擊也至關(guān)重要。必須采取一切必要措施，以確保類(lèi)似的攻擊不太可能再次發(fā)生。

Singularity XDR 使分析人員能夠采取所有必要的操作來(lái)自動(dòng)解決威脅，在整個(gè)區(qū)域的一臺(tái)、多臺(tái)或所有設(shè)備上一鍵式自動(dòng)解決威脅，而無(wú)需編寫(xiě)腳本。只需單擊一下，分析師就可以執(zhí)行修復(fù)操作，例如網(wǎng)絡(luò)隔離、在惡意工作站上自動(dòng)部署代理或跨云環(huán)境自動(dòng)執(zhí)行策略。

Singularity XDR 還允許客戶利用 Storyline 提供的分析功能，通過(guò) Storyline Active-Response (STAR) 創(chuàng)建特定于其環(huán)境的自定義自動(dòng)檢測(cè)規(guī)則。 STAR 允許企業(yè)整合其業(yè)務(wù)環(huán)境并根據(jù)其需求定制 EDR 解決方案。借助 Storyline Active-Response (STAR) 自定義檢測(cè)規(guī)則，你可以將查詢轉(zhuǎn)換為自動(dòng)搜索規(guī)則，在規(guī)則檢測(cè)到匹配項(xiàng)時(shí)觸發(fā)警報(bào)和響應(yīng)。 STAR 使你可以靈活地創(chuàng)建特定于你的環(huán)境的自定義警報(bào)和響應(yīng)，以自動(dòng)、快速地檢測(cè)和遏制整個(gè)環(huán)境中的威脅。

5. XDR 解決方案是否讓你輕松與領(lǐng)先的 SOAR 工具集成?

由于你的 SOC 中可能部署了其他安全工具和技術(shù)，因此你的 XDR 解決方案應(yīng)該讓你能夠利用你在安全工具方面的現(xiàn)有功能。關(guān)鍵功能將是內(nèi)置集成，包括自動(dòng)響應(yīng)、集成威脅情報(bào)。

SentinelOne 通過(guò) Singularity Marketplace 向第三方系統(tǒng)(如 SIEM 和 SOAR)提供越來(lái)越多的集成組合。 Singularity 應(yīng)用程序托管在SentinelOne可擴(kuò)展的無(wú)服務(wù)器功能即服務(wù)云平臺(tái)上，只需點(diǎn)擊幾下即可與支持 API 的 IT 和安全控制結(jié)合在一起。 Singularity Marketplace 是 SentinelOne 平臺(tái)的一部分，使客戶能夠消除編寫(xiě)復(fù)雜代碼的障礙，使自動(dòng)化在供應(yīng)商之間變得簡(jiǎn)單和可擴(kuò)展。安全團(tuán)隊(duì)可以通過(guò)在不同域中的安全工具之間推動(dòng)統(tǒng)一、協(xié)調(diào)的響應(yīng)，輕松地確定最佳行動(dòng)方案，以修復(fù)和防止安全攻擊。

本文翻譯自：

https://www.sentinelone.com/blog/5-questions-to-consider-before-choosing-the-right-xdr-solution/