扩展检测和响应(XDR)是一种统一的网络安全解决方案,可收集和分析来自多个来源的数据,以预防、发现和响应网络攻击。它在端点检测和响应(EDR)的基础上,增加了跨网域甚至跨网域的检测和响应功能,从而为企业的整个数字环境(包括网络、云存储、应用和端点)提供整体保护。
为什么要为端点安全设计 XDR?
通过识别根本原因构建安全事件的来龙去脉并确定如何应对,需要高度专业的知识、技能和经验,而具备这些能力的人才却很难找到。即使拥有合适的人才,企业威胁分析师也越来越难以承受根据来自各种安全产品(如安全信息和事件管理 (SIEM)系统、端点保护平台 (EPP) 以及其他网络和主机入侵检测 (IDS) 和防御 (IPS) 系统)的相关信息手动调查和升级安全事件的工作。
XDR 是为更高级的威胁检测和响应而开发的--能够自动生成事件之间的上下文关联并识别异常行为的解决方案,以减轻人工分析人员的负担。高级检测的目的不是提供更多警报,而是提供更好的警报和自动响应。
XDR 如何工作
XDR 通过几种方式实现了更高质量的检测、自动分析以及实时调整网络和端点安全意识的目标。
XDR 不仅能关联安全事件日志数据,还能拼接相关数据,生成详细的逻辑流,并应用基于机器学习的分析来检测异常行为。
这种分析可生成 "单一故事",通过交叉数据分析提高可见性并发现威胁背景,如与安全事件相关的战术、技术和程序(TTP)。
其次,XDR 对运行中的进程(包括子进程的产生)进行动态分析,以便
- 检测恶意软件进程
- 验证关键系统文件和配置文件的正确性
- 跟踪访问、修改或执行关键系统文件的进程
- 检查内存内容以检测无文件恶意软件
XDR 试图识别可能已经绕过外部扫描并获得初始访问权限的内部威胁。XDR 可以检测未知威胁和恶意软件签名无法识别的威胁。
XDR 工具可向集中管理的服务器共享威胁情报信息,该服务器可更新所有端点的安全配置文件,从而提高整个网络的感知能力。XDR 还能通过远程访问端点上的服务采取行动,查找并预防类似威胁。
XDR 基本功能
- 基于签名的恶意软件识别
- 主机防火墙职责
- 全部或部分磁盘加密或数据分段
- 限制和监控 USB 设备的使用
- 允许或禁止访问某些应用程序和 URL
高级 XDR 功能
- 拼接相关网络、云和终端数据
- 生成流程和用户行为的详细逻辑流
- 对运行中的进程进行动态分析
- 识别凭证滥用
- 监控终端网络连接以发现异常行为
- 应用基于机器学习的分析来检测异常行为
- 分析流程产生的背景
- 验证关键系统文件和配置文件的正确性
- 跟踪哪些进程正在访问、修改或执行关键系统文件
- 检查内存内容以检测无文件恶意软件
- 通过中央管理系统共享威胁情报信息
- 通过共享威胁情报建立实时威胁概况
- 将安全配置文件配置更改推送至整个网络的端点
- 远程隔离、替换或删除网络端点上的文件
- 远程访问任何端点服务,如 shell、PowerShell 和脚本
作为一项以人为本、基于订阅的 24x7x365 托管检测和响应服务、 CylanceGUARD®CylanceGUARD ,它将基于人工智能的端点防护与基于AI的端点防护所体现的深厚专业知识结合在一起,从而为CISO提供所需的专业知识和支持。 BlackBerry Cybersecurity Services与基于人工智能的端点保护相结合,通过 CylanceENDPOINT™.简而言之,CylanceGUARD 为企业提供保护企业免受现代威胁所需的人员和技术。
