擴展式偵測與回應(XDR)保安分析可檢查大量資訊以辨識一系列可疑的活動。這個雲端分析可找出隱藏在所收集活動數據中的威脅,包括零時差及針對性攻擊。
XDR 保安分析:XDR 的核心
保安分析處於 XDR 的核心,可對應眾多遙測數據輸入的挑戰,包括來自不同協定、產品及保安層的數據。XDR 一般包括來自不同媒介的活動數據,包括電郵、用戶端、伺服器、雲端工作負載及網絡。
保安分析引擎之後會處理數據,並根據預設的過濾方式、規則或模式觸發警報。分析會將所有進入 XDR 平台的資訊整合以識別保安事故及其嚴重程度。
XDR 使用最好的分析技術或組合技術來作偵測,無論是機器學習數據堆或其他大數據分析。XDR 保安分析會檢查活動數據及在跨保安層找尋不同的行為模式,以辨識複雜的多步驟攻擊。
保安分析及偵測模式
XDR 保安分析可在不同保安層關聯低信任度的事故、行為及行動。
XDR 可以關聯並識別一系列事件,以確定它是否屬惡意行為,而並非只為零碎可疑行為進行保安分析。例如有些系統會因一個可疑的釣魚電郵及為另一個可款登入網域的行為發出不同的獨立警示。XDR 會看懷疑的釣魚電郵是否與罕有的從用戶端登入網域、並在運行文本及下載檔案的事件有關。這可導致高準度的 XDR 偵測來調查惡意活動。
XDR 會將個別偵測的事故交叉關聯其他活動的數據,然後應用雲端分析來進行更精密及有效的偵測。XDR 聚焦於其他個別產品不能單獨察覺的行為。
越多越好?
採用 XDR 分析時,利用越多規則、資源及保安層,其成效會越好。不過,數據的質素依然是最重要的。假如調查結果的質素及分析都未能提供充分啟示,您可能搜集了無用的數據。
偵測規則及技巧:XDR 的優勢是它定期推出利用雲端架構強化的威脅偵測規則及模式,以尋找可疑的活動系列。在增加使用的同時,機器學習偵測技術也持續學習及精鍊,改善偵測效能及減少誤判。
資料來源:威脅研究及情報令偵測模式隨威脅情勢演變而進化。偵測模式應包括內部及外部威脅資訊,例如 MITRE ATT&CK™ 策略與技巧。
層面:越多保安層表示平台的跨層面分析功能將更為強大,為用戶帶來更大效益。