延伸式偵測及回應 (XDR) 資安數據分析藉由分析大量的資訊來發掘一連串可疑的活動。這類雲端數據分析有助於發掘威脅,例如隱藏在所有蒐集到的活動資料中的零時差攻擊或針對性攻擊。
XDR 資安數據分析:XDR 的核心
資安數據分析可說是 XDR 的核心,負責分析來自各種不同通訊協定、產品與資安防護層的各種監測資料。XDR 通常會有很多來自不同威脅入侵途徑的資料:電子郵件、端點、伺服器、雲端工作負載以及網路 (尤其是後者)。
資安數據分析引擎會處理這些資料,然後根據不同的過濾條件、規則或模型來觸發各種警報。數據分析所扮演的角色,就是找出 XDR 平台所蒐集到的資訊與資安事件之間的關聯,以及其嚴重性。
XDR 會運用最佳的分析技巧 (或結合不同技巧) 來偵測威脅,不論是機器學習、資料堆疊,或者是其他大數據分析。XDR 數據分析會檢視各防護層的活動資料,從中找出行為模式,進而發掘複雜、包含多重階段的攻擊。
資安數據分析與偵測模型
XDR 資安數據分析會交叉關聯不同防護層當中與彼此之間的低信賴度事件、行為和/或動作。
有別於聘僱一名資安分析師來觀察獨立零散的可疑活動,XDR 能交叉關聯一連串的事件來找出惡意的活動,而不是看到單獨一個可疑網路釣魚郵件警報,以及另一個存取可疑網址警報 (舉例來說)。XDR 能看出某個可疑的網路釣魚郵件與某個端點上存取罕見網址的動作有關,接著又發現某個腳本在執行之後又下載了檔案。如此一來,XDR 就能準確地偵測可疑而需要進一步調查的惡意活動。
XDR 會蒐集獨立的偵測事件以及其他活動資料,然後交叉關聯這些資訊,並利用雲端數據分析來獲得更精準的偵測結果。XDR 擅長處理個別產品所無法單獨發現的行為。
越多越好?
對於 XDR 數據分析來說,規則、來源、以及涵蓋的層次越多越好。但資料的品質也很重要,如果您的分析結果品質不佳,無法得出真正的洞見,那麼您蒐集的資料也就不具備太大用途。
偵測規則和技巧:經由一個雲端基礎架構來定期推送最新或改良的威脅偵測規則與模型來偵測可疑活動。基本上,機器學習技巧也是熟能生巧,透過不斷地修正規則就能改進偵測的成效,減少誤判情況。
情報來源:威脅研究與威脅情報可讓新的偵測模型隨著威脅情勢的演變而不斷進化。偵測模型要能整合內部與外部的威脅資訊,例如:MITRE ATT&CK™ 手法與技巧。
防護層:涵蓋的防護層越多,該平台的跨防護層數據分析能力就越強,因此將大幅提升對使用者的價值。