关于XDR的一点笔记

​

面对攻击者日益先进的战术、技术和程序(TTPs)，仍是一场艰难的战斗。随着大量新且隐蔽的攻击方法出现，我们除了威胁预防外，更需要新的策略和战术去检测和响应。

当我们的安全团队努力防止针对我们组织的攻击成功时，必须面对一个事实：没有绝对安全的系统，威胁终会到来。

XDR将EDR、UEBA、NTA、下一代防病毒软件和其他工具的所有功能整合到一个解决方案中，以提供最佳安全性。

“X”代表任何数据源，无论是网络、端点还是云，重点是通过自动化强制乘以安全运营团队每个成员的生产力。最终目标是确保该类别的产品减少检测和应对威胁的平均时间，而无需增加团队中其他地方的精力。

如果在自己的环境中不能像攻击者那样灵活，那么就很难有效的防御攻击。

XDR必须具有跨整个环境的可见性和检测功能，并继承来自端点、网络、云环境的遥测技术。

通过结合威胁情报来让自己具备应对未知攻击的能力。

XDR的必要功能：

1. 支持任意来源的数据输入，一个真正的XDR将允许任何数据与威胁活动相关联

2. 可扩展的存储和计算能力

3. 更高更准确的自动化/跨数据分析，自动映射ATT&CK框架，支持分析师进行深入分析

4. 快速/简单部署

5. 可视/可理解

十个关键的XDR能力(来自paloalto吹的):

1. 一流的端点威胁防护能力

2. 灵活的端点保护能力套件（例如主机防火墙、漏洞评估、磁盘加密、设备控制等）

3. 跨数据源的扩展可见性

4. 简化调查，减少时间和降低误报

5. 通过机器学习来分析

6. 提供协调一致的反应能力

7. 安全任务自动化

8. 独立的测试和验证

9. 快速的产品升级和优化

10. 降低安全成本

XDR用例：

与UEBA的解决场景大同小异，可以参考这篇文章《UEBA(用户和实体行为分析)可以用来做什么（十大场景）》

https://uxss.net/2022/03/15/UEBA(%E7%94%A8%E6%88%B7%E5%92%8C%E5%AE%9E%E4%BD%93%E8%A1%8C%E4%B8%BA%E5%88%86%E6%9E%90)%E5%8F%AF%E4%BB%A5%E7%94%A8%E6%9D%A5%E5%81%9A%E4%BB%80%E4%B9%88%EF%BC%88%E5%8D%81%E5%A4%A7%E5%9C%BA%E6%99%AF%EF%BC%89/

​

原文始发于微信公众号（电驭叛客）：关于XDR的一点笔记