Dlaczego telemetria w XDR to coś więcej?

Home / Aktualności / Dlaczego telemetria w XDR to coś więcej?

Pojęcie „telemetria” odnosi się do danych gromadzonych przez określone urządzenia – w przypadku naszego artykułu – urządzenia zabezpieczające infrastrukturę IT. Rozwiązania klasy IT Security przetwarzają zdarzenia z kanałów takich jak poczta e-mail, urządzenia końcowe, serwery, instancje chmury i sieć organizacji. Ponieważ każda płaszczyzna lub produkt bezpieczeństwa zbiera/generuje różne typy danych dotyczących aktywności, platforma XDR gromadzi dane telemetryczne w celu wykrywania i wyszukiwania zagrożeń (znanych/nieznanych) oraz pomocy w analizie przyczyn źródłowych.

Przykłady rodzajów gromadzonych danych obejmują między innymi:

Wydarzenia sieciowe

  • Wzorce przepływu ruchu
  • Wykonane połączenia północ-południe i wschód-zachód
  • Podejrzane zachowania w ruchu sieciowym
  • „Odciski palców” (fingerprints) TLS (dawniej SSL)

Instancje (konta) w chmurze

  • Zmiany w konfiguracji
  • Nowe/zmienione instancje
  • Aktywność na koncie użytkownika
  • Procesy
  • Wykonywane polecenia
  • Połączenia sieciowe
  • Pliki utworzone/dostępne
  • Modyfikacje rejestru

E-mail

  • Metadane wiadomości (zewnętrzny i wewnętrzny e-mail)
  • Metadane załączników
  • Zewnętrzne linki
  • Aktywność użytkownika (np. logowanie)
  • Punkty końcowe

Procesy

  • Wykonywane polecenia
  • Połączenia sieciowe
  • Pliki utworzone/dostępne
  • Modyfikacje rejestru

To, co wyróżnia platformy XDR, to rodzaj gromadzonych danych i sposób ich wykorzystania. Obecnie powszechną praktyką jest patrzenie na telemetrię, metadane i NetFlow, te dane alertu w rzeczywistości nie dostarczają powiązanych informacji o działaniach wymaganych do uruchamiania analiz i uzyskiwania szczegółowych informacji umożliwiających podjęcie działań.

Zrozumienie struktury i sposobu przechowywania danych telemetrycznych jest równie ważne, jak zrozumienie zebranych danych telemetrycznych. W zależności od rodzaju zdarzenia różne bazy danych i schematy optymalizują sposób przechwytywania, odpytywania i używania danych.

Dla przykładu:

Korzystając z danych sieciowych – najbardziej wydajna byłaby baza danych wykresów, ale w przypadku danych punktów końcowych preferowany byłby otwarty silnik wyszukiwania i analizy Elasticsearch.

Lub..

…samodzielna aktywność programu PowerShell może nie skutkować alertem SIEM, ale XDR jest w stanie ocenić i skorelować działania w kilku warstwach zabezpieczeń, w tym w punkcie końcowym

Platforma XDR jest zbudowana na własnym natywnym stosie produktowym i ma tę zaletę, że pozwala lepiej zrozumieć dane. Dzięki temu platforma może dokładnie zbierać to, co jest potrzebne do optymalizacji modeli analitycznych pod kątem korelacji wykrywanych danych, dogłębnego dochodzenia i polowania na zagrożenia. Skonfigurowanie różnych struktur w „jeziorze danych” (data lake) dla różnych danych telemetrycznych może znacząco wpłynąć na wydajność i skuteczność danych w zakresie wykrywania, korelacji i wyszukiwania.

Powiązane artykuły

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.