Was ist XDR-Telemetrie?

XDR-Telemetrie bezieht sich auf die von bestimmten Sicherheitslösungen erfassten Daten. Dazu zählen u. a. E-Mail, Endpunkt, Server, Cloud-Workload und Netzwerk. Da jede Sicherheitsebene oder Lösung verschiedene Arten von Aktivitätsdaten umfasst, erfasst eine XDR-Plattform die Telemetrie zur Erkennung und Verfolgung unbekannter Bedrohungen und zur Unterstützung der Ursachenanalyse.

Telemetrietyp nach Sicherheitsebene

Sicherheitslösungen erfassen Daten zu einer Vielzahl von täglichen Ereignissen. Diese Ereignisse variieren, angefangen bei Informationen, auf welche Datei ein Benutzer zugreift, bis hin zur Änderung der Registry auf einem Gerät. Beispiele für die Art der erfassten Daten sind unter anderem: 

Netzwerkereignisse

  • Verkehrsflussmuster
  • erstellte Perimeter- und Querverbindungen
  • verdächtiges Verkehrsverhalten
  • TLS (ehemals SSL)-Fingerabdrücke (JA3)

Cloud-Workloads

  • Konfigurationsänderungen
  • neue/geänderte Instanzen
  • Benutzerkontoaktivität
  • Prozesse
  • ausgeführte Befehle
  • Netzwerkverbindungen
  • erstellte/aufgerufene Dateien
  • Registry-Änderungen

E-Mails

  • Metadaten zu Nachrichten (externe und interne E-Mail)
  • Metadaten für Anhänge
  • externe Links
  • Anwenderaktivitäten (z. B. Anmeldungen)

Endpunkte

  • Prozesse
  • ausgeführte Befehle
  • Netzwerkverbindungen
  • erstellte/aufgerufene Dateien
  • Registry-Änderungen

Wie sich erfasste Telemetrie auswirkt

XDR-Plattformen unterscheiden sich darin, welche Daten erfasst werden und was mit ihnen geschieht.

Eine XDR-Plattform, die hauptsächlich auf ihrem nativen Sicherheits-Stack basiert, zeichnet sich durch ein tiefergreifendes Verständnis der Daten aus. Die Plattform kann genau das sammeln, was zur Optimierung von Analysemodellen für korrelierte Erkennung, eingehende Untersuchung und Bedrohungsjagd benötigt wird.

Anbieter, die sich in erster Linie darauf konzentrieren, Daten aus Produkten von Drittanbietern abzurufen, beginnen mit geringerem Verständnis der entsprechenden Daten. Diese Anbieter erhalten die Telemetrie vermutlich nicht in der Art und Tiefe, die erforderlich sind, um den Gesamtkontext einer Bedrohung zu verstehen.

Obwohl es allgemein üblich ist, Telemetrie, Metadaten und NetFlow zu überprüfen, werden in diesen Warndaten nicht die zugehörigen Aktivitätsinformationen bereitgestellt, die zum Ausführen von Analysen und Voranbringen handlungsrelevanter Einblicke erforderlich sind.

Das Verständnis um die Strukturierung und Speicherung der Telemetrie ist ebenso wichtig wie das Verständnis davon, wie die Telemetrie erfasst wird. Je nach Aktivitätsdaten sind unterschiedliche Datenbanken und Schemata besser dafür geeignet, zu optimieren, wie die Daten erfasst, abgefragt und verwendet werden.

Bei Netzwerkdaten ist beispielsweise eine Grafikdatenbank am effizientesten. Dagegen eignet sich bei Endpunktdaten die offene Such- und Analysemaschine Elasticsearch am besten.

Die Einrichtung verschiedener Data-Lake-Strukturen für unterschiedliche Telemetrieverfahren kann wesentlich zur Effizienz und Effektivität der Daten für die Erkennung, Korrelation und Suche beitragen.

XDR-Telemetrie vs. SIEM-Warnungen

SIEM aggregiert wirksam Protokolle und Warnungen. Es ist jedoch weniger effizient darin, mehrere Warnungen zu verknüpfen, die bei einem einzelnen Vorfall erkannt wurden. Letzteres würde erfordern, die Root-Telemetrie über Sicherheitsebenen hinweg zu evaluieren.

XDR-Warnungen berücksichtigen anhand der Telemetrie Warninformationen und andere kritische Aktivitäten, die zur Identifizierung verdächtiger oder bösartiger Aktivitäten entwickelt wurden. Beispielsweise führt die PowerShell-Aktivität an sich möglicherweise nicht zu einer SIEM-Warnung. XDR kann jedoch Aktivitäten auf verschiedenen Sicherheitsebenen, einschließlich des Endpunkts, bewerten und korrelieren. 

Indem sie Erkennungsmodelle auf die Erfassungstelemetrie anwendet, kann eine XDR-Plattform weniger und zuverlässigere Warnungen identifizieren und an das SIEM senden. Dadurch reduziert sich der Aufwand, den Sicherheitsanalytiker in die Abwägung stecken müssen.