首先,回想一下核三合会。 该术语是指装备有核武器的国家的战略武装部队。 该三合会包括三个组成部分:空中-战略航空,陆地-洲际弹道导弹,海上-原子潜艇导弹航母。
亲爱的加特纳(Dear Gartner)以州的战略武装力量为类比,即对事件进行监视和操作响应(SOC)的中心,强调了SOC三合会的以下要素:安全信息和事件管理(SIEM),网络流量分析(NTA),端点检测和响应(EDR)。 从这个比喻来看,很明显,只有配备了所有保护组件,SOC才能发挥最大作用:在“空中”,“陆地”和“海洋”。
不幸的是,今天大多数组织仅使用“战略航空” SIEM系统。 很少有“洲际弹道导弹”-NTA,它仅通过从标准网络安全工具中收集日志来代替对网络流量的全面分析。 很少有“核潜艇导弹运载工具”-EDR。
在我今天的文章中,根据Gartner的遗产,我想强调指出将EDR技术作为现代事件监视和快速响应中心的要素之一的重要性的主要原因。
在信息安全领域,EDR技术不仅仅具有先进的保护工作站和服务器免受复杂威胁的能力。 每年,工作仍然是攻击者的主要目标,也是组织基础结构中最常见的切入点,这需要适当的注意和适当的保护。 遥测是进行高质量事件调查所必需的有价值的信息,随着新的TLS 1.3加密协议及其有效分发的出现,访问的重要性日益增加。
EDR迅速成为增加现代SOC的成熟度和有效性的驱动力。
让我们看看为什么?
额外的可见度
首先,EDR技术能够使SOC团队可视化,而当今大多数组织仍然对此视而不见,因为大多数组织都专注于监视网络上的活动。 在监控中心的功能和对事件的操作响应的框架内,此类公司很少或仅部分连接端点作为SIEM系统中的事件源。 这是由于从所有端点收集和处理日志的成本很高,也由于生成大量事件以进行足够高的误报分析以进行分析,这通常会导致专家超负荷工作,并且通常导致昂贵资源的低效使用。
一种检测主机上复杂威胁的特殊工具
使用未知恶意代码,受破坏的帐户,无文件方法,合法应用程序和不带有任何可疑内容的操作的复杂威胁和针对性攻击,需要使用先进技术的多级检测方法。 根据一个或另一个供应商,EDR通常可以包括在自动,半自动模式下工作的各种检测技术,以及需要手动设置任务的内置工具,其中涉及高素质的人员。 例如,它可以是:防病毒软件,行为分析引擎,沙箱,搜索危害指标(IoC),使用IoA攻击指标,与MITER ATT&CK技术进行比较,以及与威胁情报的自动交互以及对全局威胁数据库的手动查询,回顾性分析,具有主动搜索威胁的能力(威胁狩猎)。 EDR是用于SOC分析的附加工具,具有用于实时威胁搜寻的直观界面,它使您可以提出复杂的请求,以搜索可疑活动和恶意行为,同时考虑到受保护基础架构的功能。
所有以上这些使组织能够检测复杂的威胁,从而绕过传统的主机保护工具,例如传统的防病毒软件,NGAV或EPP(端点保护平台)类解决方案。 后者今天与EDR解决方案紧密合作,并且此类产品的大多数制造商都在单个代理程序内提供EPP和EDR功能,而不会使计算机过载,同时提供了一种集成的方法来保护端点免受复杂威胁,并自动阻止更简单的威胁威胁,最后是检测和响应更复杂的事件。 EDR中使用的高级检测机制使团队可以快速识别威胁并快速做出响应,从而防止对业务造成损害。
其他背景
具有EDR的主机事件数据是对受保护基础结构的其他安全元素和业务应用程序生成的信息的重要补充,该信息由中心的SIEM系统进行比较以监视和快速响应事件。 EDR提供对已在其他上下文中丰富的端点基础结构数据的快速访问,一方面,它可以快速识别误报,另一方面,可以使用此数据作为调查复杂攻击的宝贵预处理材料,也就是说,EDR提供了相关日志与其他来源的事件相关联,从而提高了SOC中全球调查的质量。
附加自动化
对于没有EDR的组织来说,检测端点基础结构上的复杂威胁,包括:收集,存储和分析数据,以及在调查和响应复杂事件的阶段执行各种操作,这似乎是一项艰巨的任务,无需使用自动化工具。
如今,许多分析师在日常操作上花费了大量时间,这些都是必要且重要的,但可以自动化。 使这些例行手动任务自动化将使组织不仅可以节省分析师的昂贵工作时间,还可以减轻他们的工作量,并使他们可以专注于分析和响应真正复杂的事件。 EDR提供了从威胁检测到分析和响应的全自动事件管理工作流。 这使SOC团队可以更有效地执行日常任务,而不会浪费时间进行手动工作,从而降低了分析不必要的日志的成本。
快速访问数据及其可视化信息表示
组织在获取调查所需的数据时可能会遇到一些困难,例如无法快速访问具有分布式基础结构的工作站和服务器,或者由于入侵者破坏或加密了数据而无法从特定机器获取上下文信息。 当然,这使得不可能获得有效调查过程所需的数据以及对事件的进一步响应。 当事件已经发生时,使用EDR技术(包括连续和集中记录)可以消除猜测,并节省了分析人员的时间。
攻击者经常会破坏其踪迹,但是正如已经提到的,EDR会记录每一次攻击行动。 整个事件链均被记录并安全存储以备将来使用。 触发任何类型的警告时,EDR提供了一种便捷的工具,SOC分析人员可以使用该工具快速请求信息以检查威胁,消除误报并提出重新扫描追溯数据的请求,从而提高调查和响应的效率。
主机上的所有操作均以事件树的形式显示在界面中,从而帮助分析人员查看攻击的整体情况,以及查找他们需要调查的信息并采取操作措施以防止威胁。
遥测,对象和先前生成的结论的集中存储使分析人员可以使用追溯数据作为威胁调查(包括随着时间推移而扩展的攻击)的一部分。 今天的EDR是当今SOC宝贵数据的来源。
集中回应
当检测到事件时,EDR提供了高级选项,可在调查的不同阶段采取措施:例如,隔离文件,在主机上执行任意命令,删除对象,对主机进行网络隔离以及其他措施。 通过EDR,您可以通过可视化的信息显示和集中的任务设置来立即对事件做出响应,而无需到犯罪现场去寻找证据并采取响应措施。 EDR是用于优化SOC专家的人工成本的工具。 组织大大减少了常规的手动操作次数,节省了SOC分析人员的时间,并将响应时间从数小时缩短至数分钟。
结论
EDR是SOC的宝贵数据源,可提供强大的威胁搜索功能和集中的事件响应功能,同时可以最大程度地自动化收集,分析和响应检测到的威胁的流程。
在SOC中使用EDR将使组织能够:
- 由于端点级别的额外可见性,主动搜索威胁的可能性以及有关在主机上检测到的事件的信息的直观表示,因此提高了处理复杂事件的效率;
- 利用来自工作站和服务器的预处理相关数据丰富SOC,以便与其他来源提供的日志进行比较以进行有效调查;
- 大大减少了分析师花费在与分析工作站和服务器数据以及响应事件相关的繁琐但必要的任务上的时间。