Не все расширенные платформы обнаружения и реагирования одинаковы. Не начинайте работу с XDR, пока точно не определитесь, что хотите найти в XDR платформе.
Платформы обнаружения и реагирования ИТ-безопасности имеют различные формы: обнаружение и реагирование в конечных точках, обнаружение и реагирование в сети, а также обнаружение угроз и реагирование на них. Расширенное обнаружение и реагирование — новый участник данной категории, объединяющий множество функций обнаружения угроз в единую платформу кибербезопасности.
Прежде чем использовать последние модные ИБ-словечки, давайте разберемся, что такое XDR и на какие функции следует обращать внимание при оценке XDR продукта.
XDR — это платформа мониторинга безопасности на основе SaaS , которая собирает и анализирует соответствующие данные о рабочей нагрузке конечных точек, серверов, сетей и облачных вычислений для выявления сложных угроз. Расширение возможностей обнаружения и реагирования в области конечных точек позволяет надеяться, что платформа XDR собирает больше данных об угрозах, чем ее предшественники EDR, и может предоставить более полную картину угроз.
XDR системы выполняют следующие задачи:
Сбор данных телеметрии угроз как минимум из двух, а обычно и более источников. Сюда входят данные, полученные с конечных точек, серверов, сетевых брандмауэров и сторонних служб глобального обнаружения угроз.
Анализ данных с использованием механизмов машинного обучения, чтобы разработать основу для «нормального» поведения. После завершения процесса данные непрерывно отслеживаются и анализируются для выявления аномалий в поведении пользователей, устройств и служб, которые могут указывать на угрозу кибербезопасности.
Осуществление действий при обнаружении аномалии. Используя искусственный интеллект, XDR платформа может помочь в следующем:
Хотя имеющиеся в продаже XDR платформы используют схожие архитектуры и процессы , существуют определенные различия, о которых следует знать, прежде чем принимать решение о покупке. Во-первых, не все продукты XDR собирают данные с одних и тех же устройств или компонентов на одном уровне. Например, одна XDR платформа может в большей степени полагаться на данные обнаружения конечных точек , в то время как другая может вкладывать больше средств в сбор данных по мере их прохождения по сети.
Выбор того, какой продукт XDR лучше всего соответствует потребностям организации, зависит от нескольких факторов, в том числе следующих:
При планировании XDR развертывания следует учесть ряд моментов. Например, важно определить, сколько данных журнала и телеметрии будет собрано и как долго данные должны храниться. Это поможет определить объем дискового пространства, необходимого платформе XDR, а также пропускную способность, которая будет потребляться через локальные сети, глобальные сети и облачные соединения для отправки данных агенту сбора данных XDR.
В XDR проектах следует использовать поэтапный подход к развертыванию. Вместо развертывания сервисов сбора данных XDR на конечных точках, серверах и облаках начните с одной из этих категорий. Изучите все тонкости платформы перед развертыванием на других устройствах и типах сетей. Тогда вы сможете гарантировать, что интеграция случайно не повлияет на бизнес-операции.
XDR платформе требуется достаточно времени, чтобы определить базовое поведение потока данных для точного обнаружения аномалий безопасности. Сокращение данного базового времени часто приводит к множеству ложноположительных и ошибочно диагностированных событий. Наберитесь терпения!