A telemetria XDR refere-se aos dados coletados por soluções de segurança específicas – incluindo, mas não se limitando a e-mail, endpoint, servidor, workload em nuvem e rede. Como cada camada ou solução de segurança contém vários tipos de dados de atividade, uma plataforma XDR coleta telemetria para detectar e caçar ameaças desconhecidas e auxiliar na análise da causa raiz.
As soluções de segurança coletam dados sobre uma variedade de eventos que ocorrem em um dia. Esses eventos variam de informações de arquivos acessados pelo usuário até modificações de registro em um dispositivo. Exemplos dos tipos de dados coletados incluem, mas não estão limitados a, o seguinte:
Eventos de rede
Workloads na nuvem
Endpoints
A capacidade de coletar telemetria não é nova ou exclusiva. O que diferencia as plataformas XDR é quais dados são coletados e o que é feito com eles.
Uma plataforma XDR construída principalmente em seu próprio conjunto de segurança nativo tem a vantagem de ter um entendimento profundo dos dados e pode, portanto, coletar exatamente o que é necessário para otimizar modelos analíticos para detecção correlacionada, investigação aprofundada e caça a ameaças.
Os fornecedores que se concentram principalmente em extrair dados de produtos de terceiros começam com menos compreensão dos dados associados. Provavelmente, eles não estão obtendo o tipo e a profundidade de telemetria necessários para entender o contexto completo dos problemas. A maioria vai olhar para os dados de alerta que não fornecem dados de atividades relacionadas (por exemplo, telemetria, metadados, NetFlow) para executar análises para gerar insights acionáveis.
A forma como a telemetria é estruturada e armazenada é tão importante quanto qual a telemetria é coletada. Dependendo dos dados da atividade, diferentes bancos de dados e esquemas são mais apropriados para otimizar como os dados são capturados, consultados e usados. Por exemplo, para dados de rede, um banco de dados gráfico pode ser o mais eficiente, mas para dados de endpoint, o Elasticsearch pode ser preferível. Ter várias estruturas de data lake configuradas para telemetria diferente pode fazer uma diferença significativa no aproveitamento da eficiência e eficácia dos dados para detecção, correlação e pesquisa. Tentar ajustar os dados em um único esquema comum significa perder a profundidade da capacidade.
Embora o SIEM seja eficaz na agregação de logs e alertas, não é tão eficiente na conexão de vários alertas identificados com o mesmo incidente. Isso exigiria uma avaliação no nível de telemetria raiz nas camadas de segurança.
Aproveitando a telemetria, os alertas XDR consideram as informações de alerta, bem como outras atividades críticas projetadas para identificar atividades suspeitas ou maliciosas. Por exemplo, a atividade do PowerShell por si só pode não resultar em um alerta de SIEM, mas o XDR é capaz de avaliar e correlacionar atividades em várias camadas de segurança, incluindo o endpoint.
Ao executar modelos de detecção na telemetria coletada, uma plataforma XDR pode identificar e enviar menos e mais alertas de confiança para o SIEM, reduzindo a quantidade de triagem exigida pelos analistas de segurança.