XDR 원격 분석

XDR 원격 분석은 이메일, 엔드포인트, 서버, 클라우드 워크로드 및 네트워크를 포함하되 이에 국한되지 않는 특정 보안 솔루션에서 수집한 데이터를 나타냅니다. 각 보안 계층 또는 솔루션에는 다양한 유형의 활동 데이터가 포함되어 있으므로 XDR 플랫폼은 원격 분석을 수집하여 알려지지 않은 위협을 탐지 및 추적하고 근본 원인 분석을 지원합니다.

보안 레이어별 텔레메트리 유형

보안 솔루션은 하루 동안 발생하는 다양한 이벤트에 대한 데이터를 수집합니다. 이러한 이벤트는 사용자 액세스 파일 정보에서 기기의 레지스트리 수정에 이르기까지 다양합니다. 수집된 데이터 유형의 예에는 다음이 포함되지만 이에 국한되지 않습니다.: 

네트워크 이벤트

  • 트래픽 패턴
  • 주변 및 측면 연결
  • 의심스러운 트래픽 행동
  • TLS (이전 SSL) 지문 (JA3)

클라우드 워크로드

  • 구성 변경
  • 신규 / 변경된 인스턴스
  • 사용자 계정 활동
  • 프로세스
  • 실행된 명령
  • 네트워크 연결
  • 생성/액세스된 파일
  • 레지스트리 수정

이메일

  • 메시지 메타데이터(외부 및 내부 이메일)
  • 첨부 파일 메타 데이터
  • 외부 링크
  • 사용자 활동(로그인 등)

엔드포인트

  • 프로세스
  • 실행된 명령
  • 네트워크 연결
  • 생성/액세스된 파일
  • 레지스트리 수정

원격 분석이 만드는 차이

XDR 플랫폼을 차별화하는 것은 수집된 데이터의 유형과 사용 방법입니다.

기본적으로 자체 기본 보안 스택을 기반으로 구축된 XDR 플랫폼은 데이터를 더 깊이 이해할 수 있다는 이점이 있습니다. 이를 통해 플랫폼은 상관 탐지, 심층 조사 및 위협 헌팅을 위한 분석 모델을 최적화하는데 필요한 것을 수집할 수 있습니다.

주로 타사 제품에서 데이터를 가져오는 보안 업체는 아쉽게도 관련 데이터에 대한 이해도가 떨어집니다. 이러한 공급업체는 위협의 전체 컨텍스트를 이해하는 데 필요한 원격 측정의 유형과 깊이를 놓치고 있을 수 있습니다.

원격 분석, 메타데이터 및 NetFlow를 살펴보는 것이 일반적이지만 이 경고 데이터는 실제로 분석을 실행하고 실행 가능한 통찰력을 얻는 데 필요한 활동 정보는 제공하지 않습니다.

원격 분석이 구조화되고 저장되는 방식을 이해하는 것은 수집된 원격 분석을 이해하는 것만큼 중요합니다. 활동 데이터에 따라 서로 다른 데이터베이스와 스키마가 데이터를 캡처, 쿼리 및 사용하는 방법을 최적화 하도록 합니다.

네트워크 데이터를 예로 들면 그래프 데이터베이스가 가장 효율적이지만 엔드포인트 데이터의 경우 개방형 검색 및 분석 엔진 Elastic 검색이 선호됩니다.

서로 다른 원격 분석을 위해 다양한 데이터 레이크 구조를 설정하면 탐지, 상관 관계 분석 및 검색에 대한 데이터의 효율성과 효과 면에서 상당한 차이를 만들 수 있습니다.

XDR 원격 분석 SIEM 알람 비교

SIEM은 로그와 경고를 집계하는 데 효과적이지만, 동일한 인시던트로 식별된 여러 경고를 연결하는 데는 효율적이지 않습니다. 이를 위해서는 보안 계층 전반에 걸쳐 루트 원격 분석 수준에서 평가해야 합니다.

원격 측정을 활용하는 XDR 알람은 경고 정보뿐만 아니라 의심스럽거나 악의적인 활동을 식별하기 위해 다른 중요한 활동을 고려할 수 있습니다. 예를 들어 PowerShell 작업 자체는 SIEM 알람이 발생하지 않지만 XDR은 엔드포인트를 포함한 여러 보안 계층에서 작업을 평가하고 상관 관계를 분석할 수 있습니다.. 

수집된 원격 분석에서 탐지 모델을 실행함으로써 XDR 플랫폼은 더 적은 수의 더 높은 신뢰도의 알람을 식별하고 SIEM에 보내어 보안 분석가의 업무량을 줄여줍니다.