¿En qué consiste la telemetría de XDR?

La telemetría de XDR hace referencia a los datos recopilados por soluciones de seguridad específicas incluyendo, sin limitación, email, endpoint, servidor, workload en la nube y la red. Como cada solución o capa de seguridad contiene diversos tipos de datos de actividad, una plataforma de XDR recopila telemetría para detectar y buscar amenazas desconocidas y ayudar en los análisis de la causa principal.

Tipo de telemetría por capa de seguridad

Las soluciones de seguridad recopilan datos en una variedad de eventos que tienen lugar a lo largo del día. Estos eventos varían, desde la información de archivo accedido por el usuario hasta la modificación del registro en un dispositivo. Entre los ejemplos de tipos de datos recopilados se incluyen, sin limitación, los siguientes: 

Eventos en las redes

  • Patrones en el flujo del tráfico
  • Conexiones laterales y perimetrales realizadas
  • Comportamientos de tráfico sospechosos
  • Huellas digitales (JA3) de TLS (anteriormente llamado SSL)

Workloads en la nube

  • Cambios en la configuración
  • Instancias nuevas/cambiadas
  • Actividad en la cuenta del usuario
  • Procesos
  • Comandos ejecutados
  • Conexiones de red
  • Archivos creados/accedidos
  • Modificaciones en el registro

Email

  • Metadatos de mensajes (email interno y externo)
  • Metadatos de adjuntos
  • Enlaces externos
  • Actividad de usuario (como inicios de sesión)

Endpoints

  • Procesos
  • Comandos ejecutados
  • Conexiones de red
  • Archivos creados/accedidos
  • Modificaciones en el registro

De qué manera la telemetría recopilada marca una diferencia

Lo que diferencia a las plataformas de XDR es el tipo de datos que se recopila y lo que se realiza con ellos.

Una plataforma de XDR desarrollada principalmente en su propia pila de seguridad nativa tiene la ventaja de tener una comprensión más profunda de los datos. Esto permite que la plataforma recopile exactamente lo necesario para optimizar modelos analíticos para una detección correlacionada, una investigación detallada y una búsqueda de amenazas.

Los proveedores que principalmente reúnen datos procedentes de productos de terceros por desgracia comienzan con una menor comprensión de los datos asociados. Probablemente estos proveedores no están obteniendo el tipo y la profundidad de telemetría necesaria para comprender todo el contexto de una amenaza.

Aunque es una práctica común observar la telemetría, metadatos y netflow, estos datos de alerta realmente no proporcionan la información necesaria de la actividad relacionada como para ejecutar análisis e impulsar conocimientos prácticos.

Comprender la forma en la que se estructura y almacena la telemetría es tan importante como la forma en la que esta se recopila. Dependiendo de los datos de actividad, distintos esquemas y bases de datos son más apropiados a la hora de optimizar la forma en la que se recopilan, se consultan y se utilizan los datos.

Si utilizamos los datos de la red como un ejemplo, una base de datos de gráficos sería lo más eficaz, pero para los datos de endpoint, el motor abierto de análisis y búsqueda Elasticsearch sería una mejor opción.

Contar con distintas configuraciones de estructuras de data lake para diferentes telemetrías puede marcar una diferencia significativa en la eficacia de los datos y la efectividad de la detección, correlación y búsqueda.

Telemetría de XDR frente a alertas SIEM

Mientras la SIEM agrega registros y alertas de manera efectiva, no es tan eficiente en la conexión de múltiples alertas identificadas con el mismo incidente. Esto requeriría una evaluación del nivel de telemetría raíz en las capas de seguridad.

Al aprovechar la telemetría, las alertas de XDR pueden considerar tanto la información de la alerta como otras actividades críticas con el fin de identificar actividad sospechosa o maliciosa. Por ejemplo, la actividad de PowerShell por sí misma puede no resultar en una alerta SIEM, pero XDR es capaz de evaluar y correlacionar actividades en varias capas de seguridad, incluyendo el endpoint. 

Al ejecutar modelos de detección en la telemetría recopilada, una plataforma de XDR puede identificar y enviar menor cantidad de alertas con mayor fiabilidad a la SIEM, reduciendo los esfuerzos de clasificación requeridos por los analistas de seguridad.