甚麼是 XDR 遙測數據?

XDR 遙測數據是經由特定保安方案搜集的數據,包括但不限於電郵、用戶端、伺服器、雲端工作負載及網絡。由於不同保安層或方案包含了不同種類的活動數據,XDR 平台搜集遙測數據來偵測及搜索未知威脅,以協助進行根本原因分析。

以保安層劃分的遙測數據種類

保安方案收集每天發生的不同事故的數據,包括用戶存取檔案以至一個裝置上的目錄被更改。被收集的數據種類包括但不限於:

網絡事故

  • 傳輸流量模式
  • 周邊及橫向連繫
  • 可疑的傳輸流量行為
  • TLS(前稱 SSL)指模(JA3)

雲端工作負載

  • 變更配置
  • 新增 / 變更事件
  • 用戶帳號活動
  • 運作程序
  • 執行的指令
  • 網絡連線
  • 建立 / 存取檔案
  • 更改目錄

電郵

  • 訊息元數據(外部及內部電郵)
  • 附件源數據
  • 外部連結
  • 用戶活動(例如登入訊息)

用戶端

  • 運作程序
  • 執行的指令
  • 網絡連線
  • 建立 / 存取檔案
  • 更改目錄

遙測數據如何帶來分別

XDR 平台的優勢分別在於它收集的數據種類及如何使用這些數據。

基本上在自家原生保安組合上建構的 XDR 平台擁有深入了解數據的優勢,因此可以精確的搜集真正需要的數據來關聯偵測、深入調查及捕獵威脅,將分析模式最佳化。

主要專注於從第三方產品收集數據的廠商在開始時都不會很認識相關的數據,因此他們取得數據的種類及深度都不及遙測數據的深入,令他們無法全面了解事件。

雖然參考遙測數據、元數據及 NetFlow 已是慣例,但這些警示數據實際上並未提供進行分析及可作行動參考啟示所需的相關活動訊息。

了解遙測數據的架構及其儲存方式十分重要,並不比了解所收集遙測數據的重要性為低。視乎活動數據而定,不同數據庫及模式更適宜用作最佳化搜集、查詢及使用數據的方法。

以網絡數據為例,圖表數據庫可能更有效率,低對用戶端數據而言,開放式搜尋及分析引擎 Elasticsearch 可能更適合。

為不同遙測數據設立多個數據池結構可能大幅加強使用數據在偵測、關聯及搜尋的效率。

XDR 遙測數據與 SIEM 警報的分別

SIEM 精於集合所有目錄及警報,但它在連繫同一事故中多重警報的效率卻並不很好。因為這需要在不同保安層評估根源遙測數據。

透過遙測數據,XDR 警報不單考慮警示資訊,亦包括其他關鍵活動以識別可疑及惡意行動。例如,PowerShell 活動本身並不會引發 SIEM 警示,但 XDR 可以登入包括用戶端的多個保安層及關聯不同活動。

在收集的遙測數據進行偵測,XDR 平台可以識別及向 SIEM 發出數量較少但可信度較高的警示,減低保安分析人員的壓力。

XDR 保安議題