- 개요
- XDR
XDR은 교차 계층 탐지 및 대응 서비스입니다. XDR은 이메일, 엔드 포인트, 서버, 클라우드 워크로드 및 네트워크와 같은 여러 보안 계층에서 데이터를 수집하고 자동으로 연관시켜 위협을 보다 빠르게 감지하고 보안 분석가가 조사 및 대응 시간을 개선하게 할 수 있습니다.
XDR은 계층간 위협 탐지 및 대응 기능을 제공합니다.
탐지를 회피하는 위협 솔루션 알람이 끊긴 상태에서 보안 사일로 사이에 숨어 있다가 시간이 흐를수록 전파되는데, 보안 분석가는 연결이 끊긴 공격 관점에서 추적하고 조사하려고 합니다.
XDR은 탐지 및 응답에 대한 전체적인 접근 방식을 사용하여 이러한 사일로를 분류합니다. XDR은 이메일, 엔드 포인트, 서버, 클라우드 워크로드 및 네트워크와 같은 여러 보안 계층에서 탐지 및 심층 활동 데이터를 수집하고 연관시킵니다. 풍부한 데이터의 상위 집합을 자동화된 분석은 빠른 위협이 탐지되는것을 의미하며, 보안 분석가는 보다 빠른 철저한 조사를 수행하고 신속하게 후속 조치를 취할 수 있습니다.
XDR의 보안 계층 에 대해 알아보십시오.
탐지 및 대응과 관련하여 SOC 분석가는 조직에 대한 위험과 피해를 제한하기 위해 중요한 위협을 신속하게 식별해야 할 책임이 있습니다.
IT 및 보안팀이 다른 솔루션에 의해 발생하는 알람에 놀라는것은 당연한 일입니다. 평균 직원수 1000명인 회사는 초당 최대 22,000 개의 이벤트가 SIEM에 진입하는 것을 볼 수 있습니다. 하루에 거의 2 백만 건의 이벤트입니다.[1] 상관 관계가 있고 우선 순위를 정할 수단이 거의 없는 풍부한 양의 알람에 직면한 숙련된 분석가조차도 중요한 이벤트를 찾기 위해 노이즈를 신속하고 효과적으로 제거하는 데 어려움을 겪고 있습니다. XDR은 일련의 신뢰도가 낮은 활동을 신뢰도가 높은 이벤트에 자동으로 연결하여 우선 순위가 낮은 조치에 대한 알람을 표시합니다.
많은 보안 제품이 경고 및 활동에 대한 가시성을 제공하지만 각 제품은 특정 관점을 제공하고 해당 기능에 관련성이 있고 유용한 데이터를 수집 / 제공합니다. 보안솔루션 간 통합으로 데이터 교환 및 통합이 가능하지만 수집된 데이터의 유형과 깊이, 상관 분석 수준에 따라 종종 값이 제한됩니다. 볼 수 있는것과 할 수 있는 것에 차이가 있음을 의미합니다. 이와는 대조적으로 XDR은 개별 보안 툴에 걸쳐 활동 데이터의 전체 데이터 호수(탐지, 원격 측정, 메타데이터, 넷플로 등)에 대한 액세스를 수집하고 제공합니다. XDR은 정교한 분석 및 위협 인텔리전스를 적용하여 보안 계층에서 전체 이벤트 체인을 공격 중심으로 보는 데 필요한 전체 컨텍스트를 제공합니다.
많은 로그와 경고에 직면했지만 명확한 지표가 없는 상황에서 무엇을 찾아야 할지 알기가 어렵습니다. 문제나 위협을 발견하면 그 경로와 기업 전체에 미치는 영향을 파악하기가 어렵습니다. 조사할 자원이 있는 경우 조사를 수행하는 데 시간이 오래 걸리고 수작업이 필요할 수 있습니다. XDR은 수동 단계를 제거하여 프로세스를 자동화하고 그렇지 않으면 불가능한 분석을 위한 풍부한 데이터와 도구를 제공합니다. 이메일, 엔드포인트, 서버, 클라우드 및 네트워크를 통과 할 수 있는 타임 라인 및 공격 경로를 확인하고 공격의 각 단계를 평가하기 위해 자동 근본 원인 분석을 고려하십시오.
언급된 과제의 결과로 위협이 너무 오랫동안 탐지되지 않아 응답 시간이 증가하여 공격의 위험과 결과가 발생합니다. 교차 계층 탐지 및 대응은 궁극적으로 위협 탐지 속도 및 대응 시간을 크게 개선시킵니다. 점점 더 MTTD (Mean-Time-to-Detect) 및 MTTR (Mean-Time-Respond)이 보안 조직의 핵심 성능 지표로 측정되고 모니터링됩니다. 마찬가지로, 솔루션 가치 및 투자는 이러한 측정 기준을 어떻게 추진하여 기업의 비즈니스 리스크를 줄이는가에 따라 평가됩니다.
XDR은 현재 포인트 솔루션, 단일 벡터 접근 방식을 넘어 탐지 및 대응의 진화를 제공합니다.
엔드포인트 탐지 및 대응(EDR)은 매우 중요했습니다. 그러나 성능의 깊이에도 불구하고 EDR은 관리되는 엔드포인트만 볼 수 있기 때문에 한정적입니다. 이를 통해 탐지 할 수있는 위협 범위와 영향을 받는 사람 및 대상에 대한 관점과 이에 가장 잘 대응하는 방법이 제한됩니다.
마찬가지로, 네트워크 트래픽 분석(NTA) 도구의 청사진은 네트워크와 모니터링되는 네트워크 세그먼트로 제한됩니다. NTA 솔루션은 대량의 로그를 구동하는 경향이 있으므로 네트워크 경고와 기타 활동 데이터 간의 상관관계가 네트워크 경고의 의미를 이해하고 가치를 창출하기 위해 매우 중요합니다.
업계는 탐지 및 대응에 큰 진전을 이루었지만 현재까지는 개별 솔루션 및 보안 계층을 통해 기능이 제공되었습니다. 따라서 데이터 수집 및 분석의 이점은 여전히 남아 있습니다. XDR은 탐지 및 대응을 통합된 중앙 집중식 활동으로 발전시켜 큰 결과를 제공합니다.
SIEM을 사용하여 여러 솔루션에서 로그 및 알람을 수집할 수 있습니다. SIEM을 통해 기업은 중앙 집중식 가시성을 위해 여러 곳에서 많은 정보를 수집 할 수 있지만, 개별 알람이 크게 증가합니다. 알람은 무엇이 중요하고 주의가 필요한지 분류하기가 어렵습니다. SIEM만으로 상황을 파악하기 위한 모든 정보 로그를 연결하는 것이 어렵습니다.
반대로 XDR은 심층 활동 데이터를 수집하여 데이터 호수에 정보를 입력하여 계층간 조사를 수행합니다. 풍부한 데이터 세트에 AI 및 전문가 분석을 적용하면 상황에 따른 경보가 줄어들어 회사의 SIEM 솔루션으로 전송할 수 있습니다. XDR은 SIEM을 대체하는 것이 아니라 SIEM을 강화하여 보안 분석가가 관련 알람과 로그를 평가하고 주의가 필요한 사항을 결정하고 심층 조사를 하는데 필요한 시간을 단축합니다.
엔드포인트를 뛰어넘는 여러 보안 계층
인공지능 및 전문적인 보안 분석
완벽한 가시성을 위한 단일 통합 및 자동화 플랫폼