XDR Nedir?

XDR (genişletilmiş tespit ve müdahale), verileri birden çok güvenlik katmanında (e-posta, uç nokta, sunucu, bulut iş yükü ve ağ) toplar ve otomatik olarak ilişkilendirir. Bu, güvenlik analizi yoluyla tehditlerin daha hızlı tespit edilmesine ve daha iyi araştırma ve müdahale sürelerine olanak tanır.

XDR

Gizli tehditler tespitten kaçınır. İişkisiz çözüm uyarıları arasında güvenlik siloları arasında saklanırlar ve zaman geçtikçe yayılırlar. Bu arada, üzerinde büyük yük olan güvenlik analistleri dar, ilişkisiz saldırı bakış açılarıyla öncelik belirlemeye ve araştırma yapmaya çalışır.

XDR, tespit ve müdahaleye yönelik bütünsel bir yaklaşım kullanarak bu siloları parçalara ayırır. XDR, e-posta, uç nokta, sunucu, bulut iş yükleri ve ağ gibi birden çok güvenlik katmanında tespitleri ve derin etkinlik verilerini toplar ve ilişkilendirir. Bu zengin veri üst kümesinin otomatik analizi, tehditlerin daha hızlı tespitini sağlar. Sonuç olarak, güvenlik analistleri daha kapsamlı araştırmalar yapmak ve hızlı harekete geçmek için donanımlı hale gelir.

Bu, XDR'yi besleyebilen farklı güvenlik katmanlarının bir görüntüsüdür


XDR'yi besleyen güvenlik katmanları hakkında daha fazla bilgi edinin.

SOC Zorlukları

Tespit ve müdahale söz konusu olduğunda, güvenlik operasyonları merkezi (SOC) analistleri göz korkutucu bir sorumlulukla karşı karşıyadır. Riski ve kuruluşa verilen zararı sınırlamak için kritik tehditleri hızlı bir şekilde tanımlamaları gerekir. 

Uyarı aşırı yükü

BT ve güvenlik ekiplerinin genellikle farklı çözümlerden gelen uyarılarla aşırı yüklenmeleri şaşırtıcı değildir. Ortalama 1.000 çalışanı olan bir şirket, güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinde saniyede 22.000'e kadar olay zirvesi görebilir. Bu, günde yaklaşık 2 milyon olay demektir.[1] Bu uyarıları ilişkilendirmek ve önceliklendirmek için sınırlı araçlara sahiptirler ve kritik olaylar için gürültüyü hızlı ve etkili bir şekilde ayıklamak için mücadele ederler. XDR, bir dizi düşük güvenilir aktiviteyi otomatik olarak daha yüksek güvenilir bir olaya bağlar ve eyleme geçilmesi için daha az ve daha fazla öncelikli uyarı ortaya çıkarır.

Güvenlik çözümleri arasındaki görünürlük boşlukları

Birçok güvenlik ürünü, etkinliklere ilişkin görünürlük sağlar. Her çözüm belirli bir bakış açısı sunar ve bu işlev için alakalı ve faydalı veriler toplar ve sağlar. Güvenlik çözümleri arasındaki entegrasyon, veri alışverişini ve konsolidasyonu sağlar. Değer genellikle toplanan verilerin türü, derinliği ve mümkün olan ilişkili analiz düzeyi ile sınırlıdır. Bu, analistinizin görebileceği şeylerde boşluklar olduğu anlamına gelir. Buna karşılık XDR, algılamalar, telemetri, meta veriler, ağ akışı vb. dahil olmak üzere bireysel güvenlik araçları genelinde etkinlik verilerinin tam bir veri gölünü toplar ve bunlara erişim sağlar. Sofistike analitik ve tehdit istihbaratı uygulayan XDR, güvenlik katmanları arasında tüm olay zincirinin saldırı merkezli bir görünümü için gerekli olan tam bağlamı sağlar.

Soruşturmalarda zorluklar

Pek çok kayıt ve uyarıyla karşılaşıldığında, ancak net göstergeler olmadığı için ne arayacağınızı bilmek zordur. Bir sorun veya tehdit bulursanız, kuruluş genelindeki yolunu ve etkisini belirlemek zordur. Bunu yapmak için kaynaklar olsa bile, araştırma yapılması zaman alıcı ve manuel bir çaba olabilir. XDR, manuel adımları ortadan kaldırarak tehdit soruşturmalarını otomatikleştirir ve aksi takdirde imkansız olan analiz için zengin veriler ve araçlar sağlar. Örnek olarak otomatik kök neden analizini düşünün. Bir analist, e-posta, uç noktalar, sunucular, bulut iş yükleri ve ağlara yönelik saldırının zaman çizelgesini ve yolunu açıkça görebilir. Analist daha sonra gerekli müdahaleyi gerçekleştirmek için saldırının her adımını değerlendirebilir.

Yavaş tespit ve müdahale süresi

Bu zorlukların sonucu, tehditlerin çok uzun süre tespit edilmemesi, müdahale süresinin artması ve bir saldırının risk ve sonuçlarının artmasıdır. XDR, sonuç olarak tehdit tespit oranlarında ve müdahale sürelerinde çok ihtiyaç duyulan iyileştirmelere yol açar. Güvenlik kuruluşları, giderek artan bir şekilde, ortalama tespit süresini (MTTD) ve ortalama müdahale süresini (MTTR) temel performans ölçütleri olarak belirlemekte ve izlemektedir. Benzer bir şekilde, çözüm değerini ve yatırımları bu ölçütleri nasıl yönlendirdikleri açısından değerlendirirerek işletmenin iş risklerini azaltır.

XDR ve EDR

XDR, mevcut nokta çözümü, tek vektör yaklaşımının ötesinde tespit ve müdahalenin gelişimini temsil eder.

Uç noktalarda tespit ve müdahale (EDR) son derece değerli olmuştur. Bununla birlikte, kapasitesinin derinliğine rağmen, EDR sınırlıdır. Çünkü yalnızca yönetilen uç noktalar içindeki tehditleri tespit edebilir ve bunlara müdahale edebilir. Bu sınırlama, tespit edilebilecek tehditlerin kapsamını ve kimin veya neyin etkilendiğine ilişkin görüşü sınırlar. Bu kısıtlamalar sonuç olarak SOC içindeki yanıt etkinliğini sınırlar.

Benzer şekilde, ağ trafiği analizi (NTA) araçlarının kapsamı, ağ ve izlenen ağ bölümleriyle sınırlıdır. NTA çözümleri, çok sayıda günlük çalıştırma eğilimindedir. Ağ uyarıları ve diğer etkinlik verileri arasındaki ilişki, ağ uyarılarından anlam ve değer elde etmek için kritik öneme sahiptir.

SIEM’i Güçlendirme

Kuruluşlar, birden çok çözümden günlükleri ve uyarıları toplamak için SIEM'leri kullanmaktadır. SIEM'ler, şirketlerin merkezi görünürlük için birden fazla yerden birçok bilgiyi bir araya getirmesine izin verse de çok sayıda bireysel uyarıyla sonuçlanır. Bu uyarıları sınıflandırmak, neyin kritik olduğu ve nelere dikkat edilmesi gerektiğini anlamak zordur. Daha geniş bağlamda bir görünüm elde etmek için tüm bilgi günlüklerini ilişkilendirmek ve bağlamak, SIEM çözümüyhle yapılması zor bir iştir.

Bunun tersine, XDR ayrıntılı etkinlik verileri toplar ve bu bilgileri güvenlik katmanları arasında kapsamlı tarama, arama ve araştırma için bir veri gölüne besler. Zengin veri kümesine yapay zeka ve uzman analitiği uygulanarak şirketin SIEM çözümüne gönderilecek içerik açısından zengin uyarılar oluşturulur. XDR, SIEM'in yerini almaz. Güvenlik analistlerinin ilgili uyarıları ve günlükleri değerlendirmesi ve nelere dikkat edilmesi gerektiğine karar vermeleri için gereken süreyi azaltarak ve daha derinlemesine araştırmalar sağlayarak SIEM çözümünü güçlendirir.

Yetenek zorunlulukları

Uç noktanın ötesinde çoklu güvenlik katmanları

  • Genişletilmiş tespit ve müdahale etkinlikleri gerçekleştirmek için en az iki katmana ihtiyacınız vardır. Katman sayısı ne kadar çoksa o kadar iyidir: Uç noktalar, e-posta, ağ, sunucular ve bulut iş yükü gibi.
  • XDR, etkinlik verilerini birden çok katmandan toplayarak bir veri kümesine akıtır. Uygulanabilir tüm bilgiler, en uygun yapıda etkili ilişkilendirme ve analiz için sunulur.
  • Tek bir tedarikçinin yerel güvenlik yığınından verileri almak tedarikçi/çözüm sayısının artmasını önler. Ayrıca tespit, araştırma ve müdahale yetenekleri arasında benzersiz bir entegrasyon derinliği ve etkileşim sağlar.

Amaca yönelik yapay zeka ve uzman güvenlik analitiği

  • Veri toplamak, XDR'nin bir avantajıdır, ancak daha iyi ve daha hızlı algılama sağlamak için analitik ve zeka uygulamak çok önemlidir.
  • Telemetri verilerinin toplanması bir meta haline geldikçe, güvenlik analitiği tehdit istihbaratıyla birleşir ve bilgiyi içgörüye ve eyleme dönüştürerek daha fazla değer sunar.
  • Yerel, akıllı sensörler tarafından beslenen bir analitik motoru, üçüncü taraf ürünleri ve telemetri üzerinde elde edilebilecek olandan daha etkili güvenlik analitiği sunar. Tüm tedarikçiler kendi çözümlerinin verilerini, üçüncü taraf ürünlerin verilerinden çok daha iyi anlar. Bir tedarikçinin yerel güvenlik yığını için özel olarak oluşturulmuş XDR çözümlerine öncelik vererek optimize edilmiş analitik yetenekler sağlayabilirsiniz.

Tam görünürlük için tek, entegre ve otomatikleştirilmiş platform

  • XDR, tek bir görünümde sunulan verilerle mantıksal bağlantılar kurabilmenizi sağlayacağından kapsamlı araştırmalara olanak tanır.
  • Grafiksel, saldırı merkezli bir zaman çizelgesi görünümüne sahip olmak, aşağıdakiler dahil olmak üzere tek bir yerden müdahale imkanı sağlar:
  • Kullanıcıya kötü amaçlı yazılım nasıl bulaştı?
  • Saldırının ilk giriş noktası neydi?
  • Başka ne veya kim aynı saldırının parçası?
  • Tehdit nereden kaynaklandı?
  • Tehdit nasıl yayıldı?
  • Başka kaç kullanıcını aynı tehditle karşılaştı?
  • XDR, güvenlik analistlerinin yeteneklerini artırır ve iş akışlarını kolaylaştırır. Manuel adımları hızlandırarak veya kaldırarak ekiplerin çabalarını optimize eder ve medyada yapılamayan görünümleri ve analizleri mümkün kılar
  • SIEM ve SOAR arasında entegrasyon, analistlerin daha geniş güvenlik ekosistemiyle XDR içgörülerini düzenlemesine olanak tanır.

İlgili Makaleler