Bei XDR-Sicherheitsanalysen (Extended Detection and Response) wird anhand umfangreicher Informationsmengen eine verdächtige Reihe von Aktivitäten ermittelt. Diese Cloud-Analysen erkennen Bedrohungen, etwa Zero-Day- und gezielte Angriffe, die sich in allen erfassten Aktivitätsdaten verstecken.
XDR-Sicherheitsanalysen: das Herz von XDR
Das Herz von XDR bilden die Sicherheitsanalysen. Ihre Aufgabe ist es, den vielen unterschiedlichen Telemetrie-Feeds gerecht zu werden, die von verschiedenen Protokollen, Produkten und Sicherheitsebenen bereitgestellt werden. XDR erfasst normalerweise Aktivitätsdaten, die aus vielen verschiedenen Vektoren stammen, vor allem von E-Mails, Endpunkten, Servern, Cloud-Workloads und Netzwerken.
Eine Sicherheitsanalyse-Engine verarbeitet diese Daten und löst auf der Grundlage festgelegter Filter, Regeln oder Modelle Warnungen aus. Bei den Analysen werden die auf der XDR-Plattform eingehenden Informationen miteinander verbunden, um Sicherheitsereignisse und deren Schweregrad zu erkennen.
XDR nutzt das beste Analyseverfahren oder kombiniert Verfahren für die Erkennung. Dabei kann es sich um Machine Learning, Data Stacking oder andere Big-Data-Analysen handeln. Im Rahmen von XDR-Analysen werden Aktivitätsdaten analysiert, außerdem wird auf unterschiedlichen Sicherheitsebenen nach verschiedenen Verhaltensmustern gesucht, um komplexe mehrstufige Angriffe zu erkennen.
Sicherheitsanalysen und Erkennungsmodelle
XDR-Sicherheitsanalysen sollen fragwürdige Ereignisse, Verhaltensweisen bzw. Aktionen innerhalb und zwischen den verschiedenen Sicherheitsebenen korrelieren.
Ein Sicherheitsanalyst sieht isolierte Fragmente verdächtiger Aktivitäten, etwa eine Warnung vor einer verdächtigen Phishing-E-Mail und vielleicht eine weitere isolierte Warnung vor einem verdächtigen Zugriff auf eine Web-Domain. Im Gegensatz dazu kann XDR eine Reihe von Ereignissen korrelieren und sie als bösartig identifizieren. XDR kann die mutmaßliche Phishing-E-Mail im Zusammenhang mit dem seltenen Zugriff auf eine Web-Domain auf einem Endpunkt sehen, gefolgt von einer Datei, die nach der Ausführung eines Skripts heruntergeladen wurde. Ergebnis wäre eine High-Fidelity XDR-Erkennung einer zu untersuchenden bösartigen Aktivität.
XDR erfasst einzelne erkannte Ereignisse und andere Aktivitätsdaten, führt eine Kreuzkorrelation durch und wendet dann eine Cloud-Analyse an, um eine komplexere und erfolgreichere Erkennung zu ermöglichen. XDR konzentriert sich auf Verhalten, das einzelne Produkte allein nicht sehen können.
Je mehr, desto besser?
Bei XDR-Analysen gilt: Je mehr Regeln, Quellen und Ebenen verfügbar sind, desto besser. Obendrein ist die Qualität der Daten wichtig. Wenn die Qualität und Analyse Ihrer Ergebnisse keine Erkenntnisse bietet, ist Ihre Datensammlung nicht zwangsläufig nützlich.
Erkennungsregeln und -techniken: Durch Nutzung der Cloud-Infrastruktur werden regelmäßig neue oder erweiterte Regeln und Modelle zur Erkennung von Bedrohungen veröffentlicht. Damit wird nach einer verdächtigen Reihe von Aktivitäten zu gesucht. Bei häufigerem Einsatz werden die Erkennungstechniken im Machine Learning ständig weiterentwickelt und optimiert. Das verbessert die Effektivität der Erkennung und sorgt für weniger falsch positive Ergebnisse.
Quellen: Threat Research und Threat Intelligence ermöglichen es, neue Erkennungsmodelle zu entwickeln – im Gleichklang mit der Entwicklung neuartiger Bedrohungen. Erkennungsmodelle sollten interne und externe Bedrohungsinformationen einbeziehen, etwa Verfahren und Techniken von MITRE ATT&CK™.
Ebenen: Je mehr Sicherheitsebenen hinzukommen, desto größer sind die ebenenübergreifenden Analysefähigkeiten der Plattform und damit der exponentielle Mehrwert für den Anwender.