Индустрия кибербезопасности наводнена жаргоном, аббревиатурами и акронимами. По мере увеличения числа изощренных векторов атак, от конечных точек до сетей и облачных сред, многие предприятия обращаются к новому подходу к противодействию сложным угрозам: расширенному обнаружению и реагированию, что привело к появлению еще одной аббревиатуры: XDR. И хотя в этом году XDR получил большую поддержку со стороны лидеров отрасли и сообщества аналитиков, XDR все еще является развивающейся концепцией, и поэтому вокруг этой темы существует путаница.
Это обеспечивает унифицированную единую панель обзора для нескольких инструментов и векторов атак. Эта улучшенная видимость обеспечивает контекстуализацию этих угроз, чтобы помочь в сортировке, расследовании и быстром устранении последствий.
XDR автоматически собирает и сопоставляет данные по нескольким векторам безопасности, способствуя более быстрому обнаружению угроз, чтобы аналитики безопасности могли быстро реагировать до того, как масштаб угрозы расширится. Готовые интеграции и предварительно настроенные механизмы обнаружения в нескольких различных продуктах и платформах помогают повысить производительность, обнаружение угроз и криминалистику.
SIEM собирает, объединяет, анализирует и хранит большие объемы данных журналов со всего предприятия. SIEM начал свой путь с очень широкого подхода: сбор доступных данных журналов и событий практически из любого источника на предприятии для хранения для нескольких вариантов использования. К ним относятся управление и соответствие требованиям, сопоставление шаблонов на основе правил, обнаружение эвристических/поведенческих угроз, таких как UEBA, и поиск источников телеметрии для IOC или атомарных индикаторов.
Однако инструменты SIEM требуют много тонкой настройки и усилий для внедрения. Группы безопасности также могут быть перегружены огромным количеством предупреждений, поступающих от SIEM, из-за чего SOC игнорирует критические предупреждения. Кроме того, несмотря на то, что SIEM собирает данные из десятков источников и датчиков, он по-прежнему является пассивным аналитическим инструментом, выдающим оповещения.
Платформа XDR призвана решить задачи инструмента SIEM по эффективному обнаружению целевых атак и реагированию на них и включает в себя анализ поведения, анализ угроз , профилирование поведения и аналитику.
SOAR является сложным, дорогостоящим и требует высокоразвитого SOC для внедрения и поддержки партнерских интеграций и сценариев. XDR задуман как «облегченный SOAR»: простое, интуитивно понятное решение с нулевым кодом , которое обеспечивает функциональность от платформы XDR до подключенных инструментов безопасности.
Услуга MXDR дополняет возможности XDR клиента услугами MDR для дополнительного мониторинга, расследований, поиска угроз и возможностей реагирования.
XDR обеспечивает большую видимость и контекст угроз; инциденты, которые в противном случае не были бы устранены ранее, выйдут на более высокий уровень осведомленности, что позволит командам безопасности исправить и уменьшить любое дальнейшее воздействие и минимизировать масштабы атаки.
Типичная атака программы-вымогателя проходит через сеть, достигает почтового ящика, а затем атакует конечную точку. Решение проблемы безопасности путем независимого рассмотрения каждого из них ставит организации в невыгодное положение. XDR интегрирует разрозненные элементы управления безопасностью, чтобы обеспечить автоматические или однократные ответные действия в системе безопасности предприятия, такие как отключение доступа пользователей, принудительная многофакторная проверка подлинности при подозрении на компрометацию учетной записи, блокирование входящих доменов и хэшей файлов и многое другое — все с помощью настраиваемых правил, написанных пользователем или с помощью логики, встроенной в механизм предписывающего ответа.
Благодаря единому пулу необработанных данных, содержащих информацию со всей экосистемы, XDR позволяет быстрее, глубже и эффективнее обнаруживать угрозы и реагировать на них, чем EDR, собирая и сопоставляя данные из более широкого круга источников.
Эта всесторонняя видимость дает несколько преимуществ, в том числе:
Заключение
Навигация среди поставщиков является сложной задачей для многих предприятий, особенно когда речь идет о решениях для обнаружения и реагирования. Часто самым большим препятствием является понимание того, что предоставляет каждое решение , особенно когда терминология варьируется от поставщика к поставщику и может означать разные вещи.
Как и в случае с любой новой технологией, выходящей на рынок, здесь много ажиотажа, и покупатели должны быть мудрыми . Реальность такова, что не все решения XDR одинаковы. SentinelOne Singularity XDR объединяет и расширяет возможности обнаружения и реагирования на нескольких уровнях безопасности, предоставляя командам по безопасности централизованную сквозную видимость предприятия, мощную аналитику и автоматизированный ответ по всему стеку технологий.
Короткая и интересная статья на мой взгляд, переведено.
Источник: Оригинал
- Что такое XDR?
- Чем XDR отличается от EDR?
- Это то же самое, что SIEM и SOAR?
Что такое EDR?
EDR предоставляет организации возможность отслеживать ендпоинты на предмет подозрительного поведения и записывать каждое действие и событие. Затем он сопоставляет информацию, чтобы обеспечить критический контекст для обнаружения сложных угроз, и, наконец, запускает автоматические ответные действия, такие как изоляция зараженной конечной точки от сети почти в реальном времени.Что такое XDR?
XDR — это эволюция EDR , Endpoint Detection и Response. В то время как EDR собирает и сопоставляет действия между несколькими конечными точками, XDR расширяет область обнаружения за пределы конечных точек, обеспечивая обнаружение, аналитику и реагирование на конечные точки, сети, серверы, облачные рабочие нагрузки, SIEM и многое другое.Это обеспечивает унифицированную единую панель обзора для нескольких инструментов и векторов атак. Эта улучшенная видимость обеспечивает контекстуализацию этих угроз, чтобы помочь в сортировке, расследовании и быстром устранении последствий.
XDR автоматически собирает и сопоставляет данные по нескольким векторам безопасности, способствуя более быстрому обнаружению угроз, чтобы аналитики безопасности могли быстро реагировать до того, как масштаб угрозы расширится. Готовые интеграции и предварительно настроенные механизмы обнаружения в нескольких различных продуктах и платформах помогают повысить производительность, обнаружение угроз и криминалистику.
Чем XDR отличается от SIEM?
Когда мы говорим о XDR, некоторые думают, что мы по-другому описываем инструмент управления информацией и событиями безопасности (SIEM). Но XDR и SIEM — это две разные вещи .SIEM собирает, объединяет, анализирует и хранит большие объемы данных журналов со всего предприятия. SIEM начал свой путь с очень широкого подхода: сбор доступных данных журналов и событий практически из любого источника на предприятии для хранения для нескольких вариантов использования. К ним относятся управление и соответствие требованиям, сопоставление шаблонов на основе правил, обнаружение эвристических/поведенческих угроз, таких как UEBA, и поиск источников телеметрии для IOC или атомарных индикаторов.
Однако инструменты SIEM требуют много тонкой настройки и усилий для внедрения. Группы безопасности также могут быть перегружены огромным количеством предупреждений, поступающих от SIEM, из-за чего SOC игнорирует критические предупреждения. Кроме того, несмотря на то, что SIEM собирает данные из десятков источников и датчиков, он по-прежнему является пассивным аналитическим инструментом, выдающим оповещения.
Платформа XDR призвана решить задачи инструмента SIEM по эффективному обнаружению целевых атак и реагированию на них и включает в себя анализ поведения, анализ угроз , профилирование поведения и аналитику.
Чем XDR отличается от SOAR?
Платформы Security Orchestration & Automated Response (SOAR) используются опытными командами по обеспечению безопасности для создания и запуска многоэтапных сценариев, которые автоматизируют действия в экосистеме решений безопасности, подключенной к API. Напротив, XDR позволит интегрировать экосистему через Marketplace и предоставит механизмы для автоматизации простых действий против сторонних средств безопасности.SOAR является сложным, дорогостоящим и требует высокоразвитого SOC для внедрения и поддержки партнерских интеграций и сценариев. XDR задуман как «облегченный SOAR»: простое, интуитивно понятное решение с нулевым кодом , которое обеспечивает функциональность от платформы XDR до подключенных инструментов безопасности.
Что такое MXDR?
Управляемое расширенное обнаружение и реагирование (MXDR) расширяет услуги MDR по всему предприятию, чтобы получить полностью управляемое решение, включающее аналитику безопасности и операции, расширенный поиск угроз, обнаружение и быстрое реагирование в конечных точках, сети и облачных средах.Услуга MXDR дополняет возможности XDR клиента услугами MDR для дополнительного мониторинга, расследований, поиска угроз и возможностей реагирования.
Почему XDR набирает обороты и вызывает ажиотаж?
XDR заменяет разрозненную систему безопасности и помогает организациям решать проблемы кибербезопасности с единой точки зрения. Благодаря единому пулу необработанных данных, содержащих информацию со всей экосистемы, XDR позволяет быстрее, глубже и эффективнее обнаруживать угрозы и реагировать на них, чем EDR, собирая и сопоставляя данные из более широкого круга источников.XDR обеспечивает большую видимость и контекст угроз; инциденты, которые в противном случае не были бы устранены ранее, выйдут на более высокий уровень осведомленности, что позволит командам безопасности исправить и уменьшить любое дальнейшее воздействие и минимизировать масштабы атаки.
Типичная атака программы-вымогателя проходит через сеть, достигает почтового ящика, а затем атакует конечную точку. Решение проблемы безопасности путем независимого рассмотрения каждого из них ставит организации в невыгодное положение. XDR интегрирует разрозненные элементы управления безопасностью, чтобы обеспечить автоматические или однократные ответные действия в системе безопасности предприятия, такие как отключение доступа пользователей, принудительная многофакторная проверка подлинности при подозрении на компрометацию учетной записи, блокирование входящих доменов и хэшей файлов и многое другое — все с помощью настраиваемых правил, написанных пользователем или с помощью логики, встроенной в механизм предписывающего ответа.
Благодаря единому пулу необработанных данных, содержащих информацию со всей экосистемы, XDR позволяет быстрее, глубже и эффективнее обнаруживать угрозы и реагировать на них, чем EDR, собирая и сопоставляя данные из более широкого круга источников.
Эта всесторонняя видимость дает несколько преимуществ, в том числе:
- Сокращение среднего времени обнаружения (MTTD) за счет корреляции между источниками данных.
- Сокращение среднего времени расследования (MTTI) за счет ускорения сортировки и сокращения времени расследования и объема.
- Сокращение среднего времени ответа (MTTR) за счет простой, быстрой и актуальной автоматизации.
- Улучшение видимости во всем комплексе безопасности.
Заключение
Навигация среди поставщиков является сложной задачей для многих предприятий, особенно когда речь идет о решениях для обнаружения и реагирования. Часто самым большим препятствием является понимание того, что предоставляет каждое решение , особенно когда терминология варьируется от поставщика к поставщику и может означать разные вещи.
Как и в случае с любой новой технологией, выходящей на рынок, здесь много ажиотажа, и покупатели должны быть мудрыми . Реальность такова, что не все решения XDR одинаковы. SentinelOne Singularity XDR объединяет и расширяет возможности обнаружения и реагирования на нескольких уровнях безопасности, предоставляя командам по безопасности централизованную сквозную видимость предприятия, мощную аналитику и автоматизированный ответ по всему стеку технологий.
Короткая и интересная статья на мой взгляд, переведено.
Источник: Оригинал