关于XDR的一点笔记(续)

​

XDR趋势推动的主要原因：

1. 分布式企业资产 + 重新定义的边界 + 云/业务转型的成功 = 攻击向量和攻击技术的爆发增长

2. 范围狭窄的安全解决方案在孤岛中运行

3. SIEM 经常遭受范围蔓延的困扰，导致复杂的解决方案面临部署挑战

XDR的主要优势应该具备：

1. 提高检测、保护、响应能力

2. 提高效率

3. 省钱

如何提高protection能力：

• 立即在组件安全产品之间共享本地威胁情报，以有效阻止所有组件的威胁。此外，在多种不同的检测方法（例如网络和端点）中利用外部获得的威胁情报

• 将来自多个组件的弱信号组合成更强的恶意信号

• 通过自动关联和确认警报来减少错过的警报

• 集成相关数据，以实现更快、更准确的警报分类诊断

• 通过加权指导提供集中配置和硬化功能，以帮助确定活动的优先次序

如何提高安全运营人员的效率：

• 将大量警报流转换为需要手动调查的少且准确的事件

• 提供具有所有安全组件必要上下文的集成事件响应选项，以快速解决警报

• 提供超出基础设施控制点（即网络和端点）的响应选项

• 为重复性任务提供自动化能力

• 通过跨安全组件提供共同的管理和工作流程体验，减少培训和升级支持

• 提供可用和高质量的检测内容，无需调优

​

XDR的三大支柱：

Front-End：

    1. 生成遥测数据

    2. 执行响应动作或增强安全控制

Back-End：

    1. 从传感器收集和关联数据

    2. 执行威胁检测

    3. 自动化告警、事件分类

    4. 加速事件调查

    5. 自动化响应检测到的威胁

Content：

以威胁为中心的规范性工作流程

    1. API connectors

    2. 解析器

    3. 检测规则和模型

    4. 调查和响应指导

    5. MITRE ATT&CK测绘

    6. 响应行动和剧本

    7. 报告

​

XDR的事件处理流程：

1. 从关键数据源生成安全遥测数据

2. 将攻击遥测数据关联到一个事件时间线

3. 自动化根因分析

4. 借助全面的事件上下文加速威胁狩猎

5. 推荐应对措施

以威胁为中心的统包式威胁检测、调查和响应 (TDIR) 工作流程：

收集：

    预定义数据源

检测：

    基于行为的威胁检测

    观察列表

    MITRE 映射

分类：

     告警优先级

    上下文收集和完善

    自动创建案例

调查：

    为所有实体预构建事件时间表

    自动化Q&A

响应：

    统包剧本

    定义事件类型

    事件检查列表

​

XDR检测案例(Exabeam检测横向移动)：

数据源：

    登录和访问资产

    认证和访问管理

    VPN和零信任网络接入

    网络接入、分析和监控

    EDR/EPP日志

    操作系统日志

检测规则类型：

    Pass the ticket 

    Pass the hash 

    远程访问活动异常

    网络连接和流量异常

MITRE技术：

    T1090: Proxy

    T1205: Traffic signaling 

    T1219:  Remote access software

    T1071: Application layer protocol 

    T1021: Remote services

    T1078: Valid accounts

   T1550: Use alternate authentication material 

调查工具：

    威胁猎人保存搜索结果

    智能时间线

    调查checklist指南

响应动作：

    邮件通知相关人

    添加用户和资产到观察列表

    对事件涉及的用户进行屏蔽、暂停或限制

    重置凭证/授权

    通过多因素认证重新身份验证

    隔离系统

​

SIEM是目前有效的威胁探测和响应工具之一，SIEM的未来是XDR。

SIEM的价值：

1. 高级检测，可用于检测特定类型的安全事件

2. 安全操作， 可用于不同的威胁检测和响应用例

3. 安全集成，充当其它安全应用的集成平台，如UEBA、SOAR等

4. 可见性，为整个组织的事件数据提供可见性、合规性和报告

5. …

SIEM面临的最大挑战：

1. 软件授权昂贵

2. 维护和运营SIEM基础设施的成本很高，且需要很多资源和时间

3. SIEM可以有效的检测已知威胁，但是对于未知威胁却不太有效

4. SIEM更适合有经验的网络安全分析师使用

5. SIEM基础设施部署需要复杂而漫长的部署周期

6. …

XDR与零信任

XDR 可以发挥关键作用，充当集成端到端零信任架构的中枢神经系统， 它在整个网络和环境中提供实时可见性和警报，监控核心策略的执行，提供上下文洞察力，并授权团队在需要时采取快速行动。

XDR的风险：

就目前而言，XDR仍是一个新兴的待验证的安全产品，大量的优势仍然存在某些特定案例或者PPT上。

SOAPA( security operations and analytics platform architecture)

一个为规模、集成、高级分析和过程自动化而构建的架构。（ESG提出）

​

原文始发于微信公众号（电驭叛客）：关于XDR的一点笔记(续)