O que são análises de segurança XDR?

O XDR engloba análises de segurança em seu núcleo para lidar com o desafio dos diversos feeds de telemetria que vêm de diferentes protocolos, diferentes produtos e diferentes camadas de segurança. O XDR normalmente inclui dados de atividades provenientes de muitos vetores diferentes – endpoints, servidores, workloads em nuvem, e-mail e redes em particular. Um mecanismo de análise de segurança processa esses dados e dispara um alerta com base em filtros, regras ou modelos definidos. A análise é o que une as informações que chegam à plataforma XDR para identificar eventos de segurança. O XDR usa a melhor técnica analítica ou combinação de técnicas para fazer uma detecção – seja machine learning, data stacking ou outra análise de big data. O XDR analytics analisa os dados de atividade e procura diferentes padrões de comportamento nas camadas de segurança para identificar ataques complexos em várias etapas.

A análise de segurança XDR correlaciona eventos, comportamentos e/ou ações de baixa confiança dentro e entre as diferentes camadas de segurança.

Em vez de um analista de segurança ver fragmentos isolados de atividades suspeitas, o XDR pode correlacionar uma série de eventos e identificá-los como maliciosos – ao contrário de um alerta para um e-mail de phishing suspeito e talvez outro alerta isolado para um acesso de domínio da web suspeito, por exemplo. O XDR pode ver o e-mail suspeito de phishing como relacionado ao acesso raro ao domínio da web em um endpoint, seguido posteriormente por um arquivo baixado após a execução de um script. Isso levaria a uma detecção XDR de alta fidelidade de atividades maliciosas a serem investigadas.

O XDR pega eventos individuais detectados e outros dados de atividade, correlaciona as informações e, em seguida, aplica a análise de nuvem para emitir uma detecção mais sofisticada e bem-sucedida. A XDR se concentra no comportamento que os produtos individuais não podem ver sozinhos.

Quando se trata de análises XDR, quanto mais, melhor. Mais regras, mais fontes, mais camadas.

Regras e técnicas de detecção: A beleza do XDR é que, ao aproveitar uma infraestrutura de nuvem, regras e modelos novos ou aprimorados de detecção de ameaças são lançados regularmente para procurar diferentes tipos de séries de atividades suspeitas. Com cada vez mais uso, as técnicas de detecção de machine learning estão continuamente aprendendo e refinando para melhorar a eficácia da detecção e reduzir falsos positivos.

Fontes: A pesquisa de ameaças e a inteligência de ameaças permitem que novos modelos de detecção evoluam à medida que o cenário de ameaças evolui. Os modelos de detecção devem integrar informações de ameaças internas e externas, como as táticas e técnicas MITRE ATT&CK™.

Camadas: E, claro, quanto mais camadas de segurança forem adicionadas, maiores serão os recursos de análise das diversas camadas pela plataforma e, portanto, maior o valor para o cliente.