Dlaczego telemetria w XDR to coś więcej?
Pojęcie „telemetria” odnosi się do danych gromadzonych przez określone urządzenia – w przypadku naszego artykułu – urządzenia zabezpieczające infrastrukturę IT. Rozwiązania klasy IT Security przetwarzają zdarzenia z kanałów takich jak poczta e-mail, urządzenia końcowe, serwery, instancje chmury i sieć organizacji. Ponieważ każda płaszczyzna lub produkt bezpieczeństwa zbiera/generuje różne typy danych dotyczących aktywności, platforma XDR gromadzi dane telemetryczne w celu wykrywania i wyszukiwania zagrożeń (znanych/nieznanych) oraz pomocy w analizie przyczyn źródłowych.
Przykłady rodzajów gromadzonych danych obejmują między innymi:
Wydarzenia sieciowe
- Wzorce przepływu ruchu
- Wykonane połączenia północ-południe i wschód-zachód
- Podejrzane zachowania w ruchu sieciowym
- „Odciski palców” (fingerprints) TLS (dawniej SSL)
Instancje (konta) w chmurze
- Zmiany w konfiguracji
- Nowe/zmienione instancje
- Aktywność na koncie użytkownika
- Procesy
- Wykonywane polecenia
- Połączenia sieciowe
- Pliki utworzone/dostępne
- Modyfikacje rejestru
- Metadane wiadomości (zewnętrzny i wewnętrzny e-mail)
- Metadane załączników
- Zewnętrzne linki
- Aktywność użytkownika (np. logowanie)
- Punkty końcowe
Procesy
- Wykonywane polecenia
- Połączenia sieciowe
- Pliki utworzone/dostępne
- Modyfikacje rejestru
To, co wyróżnia platformy XDR, to rodzaj gromadzonych danych i sposób ich wykorzystania. Obecnie powszechną praktyką jest patrzenie na telemetrię, metadane i NetFlow, te dane alertu w rzeczywistości nie dostarczają powiązanych informacji o działaniach wymaganych do uruchamiania analiz i uzyskiwania szczegółowych informacji umożliwiających podjęcie działań.
Zrozumienie struktury i sposobu przechowywania danych telemetrycznych jest równie ważne, jak zrozumienie zebranych danych telemetrycznych. W zależności od rodzaju zdarzenia różne bazy danych i schematy optymalizują sposób przechwytywania, odpytywania i używania danych.
Dla przykładu:
Korzystając z danych sieciowych – najbardziej wydajna byłaby baza danych wykresów, ale w przypadku danych punktów końcowych preferowany byłby otwarty silnik wyszukiwania i analizy Elasticsearch.
Lub..
…samodzielna aktywność programu PowerShell może nie skutkować alertem SIEM, ale XDR jest w stanie ocenić i skorelować działania w kilku warstwach zabezpieczeń, w tym w punkcie końcowym
Platforma XDR jest zbudowana na własnym natywnym stosie produktowym i ma tę zaletę, że pozwala lepiej zrozumieć dane. Dzięki temu platforma może dokładnie zbierać to, co jest potrzebne do optymalizacji modeli analitycznych pod kątem korelacji wykrywanych danych, dogłębnego dochodzenia i polowania na zagrożenia. Skonfigurowanie różnych struktur w „jeziorze danych” (data lake) dla różnych danych telemetrycznych może znacząco wpłynąć na wydajność i skuteczność danych w zakresie wykrywania, korelacji i wyszukiwania.