关于XDR的一点笔记
langu_xyz

面对攻击者日益先进的战术、技术和程序(TTPs),仍是一场艰难的战斗。随着大量新且隐蔽的攻击方法出现,我们除了威胁预防外,更需要新的策略和战术去检测和响应。

当我们的安全团队努力防止针对我们组织的攻击成功时,必须面对一个事实:没有绝对安全的系统,威胁终会到来。

XDR将EDR、UEBA、NTA、下一代防病毒软件和其他工具的所有功能整合到一个解决方案中,以提供最佳安全性。

“X”代表任何数据源,无论是网络、端点还是云,重点是通过自动化强制乘以安全运营团队每个成员的生产力。最终目标是确保该类别的产品减少检测和应对威胁的平均时间,而无需增加团队中其他地方的精力。

如果在自己的环境中不能像攻击者那样灵活,那么就很难有效的防御攻击。

XDR必须具有跨整个环境的可见性和检测功能,并继承来自端点、网络、云环境的遥测技术。

通过结合威胁情报来让自己具备应对未知攻击的能力。

XDR的必要功能:

1. 支持任意来源的数据输入,一个真正的XDR将允许任何数据与威胁活动相关联
2. 可扩展的存储和计算能力
3. 更高更准确的自动化/跨数据分析,自动映射ATT&CK框架,支持分析师进行深入分析
4. 快速/简单部署
5. 可视/可理解

十个关键的XDR能力(来自paloalto):

1. 一流的端点威胁防护能力
2. 灵活的端点保护能力套件(例如主机防火墙、漏洞评估、磁盘加密、设备控制等)
3. 跨数据源的扩展可见性
4. 简化调查,减少时间和降低误报
5. 通过机器学习来分析
6. 提供协调一致的反应能力
7. 安全任务自动化
8. 独立的测试和验证
9. 快速的产品升级和优化
10. 降低安全成本

XDR用例:
与UEBA的解决场景大同小异,可以参考这篇文章《UEBA(用户和实体行为分析)可以用来做什么(十大场景)》

XDR趋势推动的主要原因:

1. 分布式企业资产 + 重新定义的边界 + 云/业务转型的成功 = 攻击向量和攻击技术的爆发增长
2. 范围狭窄的安全解决方案在孤岛中运行
3. SIEM 经常遭受范围蔓延的困扰,导致复杂的解决方案面临部署挑战

XDR的主要优势应该具备:

1. 提高检测、保护、响应能力
2. 提高效率
3. 省钱

如何提高protection能力:

• 立即在组件安全产品之间共享本地威胁情报,以有效阻止所有组件的威胁。此外,在多种不同的检测方法(例如网络和端点)中利用外部获得的威胁情报

• 将来自多个组件的弱信号组合成更强的恶意信号

• 通过自动关联和确认警报来减少错过的警报

• 集成相关数据,以实现更快、更准确的警报分类诊断

• 通过加权指导提供集中配置和硬化功能,以帮助确定活动的优先次序

如何提高安全运营人员的效率:

• 将大量警报流转换为需要手动调查的少且准确的事件

• 提供具有所有安全组件必要上下文的集成事件响应选项,以快速解决警报

• 提供超出基础设施控制点(即网络和端点)的响应选项

• 为重复性任务提供自动化能力

• 通过跨安全组件提供共同的管理和工作流程体验,减少培训和升级支持

• 提供可用和高质量的检测内容,无需调优

XDR的三大支柱:

Front-End:

    1. 生成遥测数据
    2. 执行响应动作或增强安全控制

Back-End:

    1. 从传感器收集和关联数据
    2. 执行威胁检测
    3. 自动化告警、事件分类
    4. 加速事件调查
    5. 自动化响应检测到的威胁

Content

    以威胁为中心的规范性工作流程
    1. API connectors
    2. 解析器
    3. 检测规则和模型
    4. 调查和响应指导
    5. MITRE ATT&CK测绘
    6. 响应行动和剧本
    7. 报告

XDR的事件处理流程:

1. 从关键数据源生成安全遥测数据
2. 将攻击遥测数据关联到一个事件时间线
3. 自动化根因分析
4. 借助全面的事件上下文加速威胁狩猎
5. 推荐应对措施

以威胁为中心的统包式威胁检测、调查和响应 (TDIR) 工作流程:

收集:

    预定义数据源

检测:

    基于行为的威胁检测
    观察列表
    MITRE 映射

分类:

    告警优先级
    上下文收集和完善
    自动创建案例

调查:

    为所有实体预构建事件时间表
    自动化Q&A

响应:

    统包剧本
    定义事件类型
    事件检查列表

XDR检测案例(Exabeam检测横向移动):

数据源:

    登录和访问资产
    认证和访问管理
    VPN和零信任网络接入
    网络接入、分析和监控
    EDR/EPP日志
    操作系统日志

检测规则类型:

    Pass the ticket 
    Pass the hash 
    远程访问活动异常
    网络连接和流量异常

MITRE技术:

    T1090: Proxy
    T1205: Traffic signaling 
    T1219:  Remote access software
    T1071: Application layer protocol 
    T1021: Remote services         
    T1078: Valid accounts         
    T1550: Use alternate authentication material 

调查工具:

    威胁猎人保存搜索结果
    智能时间线
    调查checklist指南

响应动作:

    邮件通知相关人
    添加用户和资产到观察列表
    对事件涉及的用户进行屏蔽、暂停或限制
    重置凭证/授权
    通过多因素认证重新身份验证
    隔离系统

SIEM是目前有效的威胁探测和响应工具之一,SIEM的未来是XDR。

SIEM的价值:

1. 高级检测,可用于检测特定类型的安全事件
2. 安全操作, 可用于不同的威胁检测和响应用例
3. 安全集成,充当其它安全应用的集成平台,如UEBA、SOAR等
4. 可见性,为整个组织的事件数据提供可见性、合规性和报告
5. …

SIEM面临的最大挑战:

1. 软件授权昂贵
2. 维护和运营SIEM基础设施的成本很高,且需要很多资源和时间
3. SIEM可以有效的检测已知威胁,但是对于未知威胁却不太有效
4. SIEM更适合有经验的网络安全分析师使用
5. SIEM基础设施部署需要复杂而漫长的部署周期
6. …

XDR与零信任

XDR 可以发挥关键作用,充当集成端到端零信任架构的中枢神经系统, 它在整个网络和环境中提供实时可见性和警报,监控核心策略的执行,提供上下文洞察力,并授权团队在需要时采取快速行动。

XDR的风险:

就目前而言,XDR仍是一个新兴的待验证的安全产品,大量的优势仍然存在某些特定案例或者PPT上。

SOAPA( security operations and analytics platform architecture)

一个为规模、集成、高级分析和过程自动化而构建的架构。(ESG提出)

  • Post title:关于XDR的一点笔记
  • Post author:langu_xyz
  • Create time:2022-05-27 21:00:00
  • Post link:https://uxss.net/2022/05/27/关于XDR的一点笔记/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.