XDR 是什么?延伸式侦测及回应提供了哪些资安保障?
XDR(Extended Detection and Response)能够整合多个资安技术,扩大资安监控范围,并提供自动化回应机制,帮助企业更有效地防御资安攻击。本文将深入探讨 XDR 的运作方式、优势,帮助企业了解如何导入 XDR 来强化资安防御。
XDR 是什么?
XDR 是 Extended Detection Responses 的缩写,中文称为「延伸式侦测及回应」。 XDR 是一种资安维护技术,用来监控并缓解网路威胁。
XDR 中的所谓的「延伸式」,是相较于 EDR 和 MDR 来说,XDR 侦测的范围涵盖更广,在多种不同的途径监控包含端点、电子邮件系统、应用程式、网路连线等活动,以发现异常现象。白话一点地说,XDR 整合了多个资安技术,跨平台侦测威胁,在短时间内接受并分析大量资讯,再即时回应缓解网路攻击,第一时间将影响缩至最小。 文章后续,会再进一步比较 XDR、MDR 即 EDR 之间的差异。
XDR 的优势
- 整合侦测网路威胁:XDR 能够汇整来自端点、网路、云端等多个来源的资安相关资料,协助企业了解异常事件的完整全貌。
- 提升可视性:透过单一仪表板监控企业资讯系统内的活动,企业资安团队可更清楚掌握潜在威胁。
- 增强回应能力:自动关联分析警报并执行快速回应,缩短事件处理时间,减少安全风险。
- 提升营运持续性:即时威胁侦测与自动化回应,降低资安事件对业务运作的影响,确保系统稳定运行。
- 资料储存能力:XDR 能够长时间储存与分析大量安全数据,便于调查历史事件并改进威胁防御策略。
- 分析内部与外部威胁:除了外部威胁,同时侦测内部行为,杜绝来自内部的威胁。
XDR 的运作方式
XDR 的工作流程,可以简单分成四大阶段:「事件侦测」、「事件分析」、「采取回应」,以及最后的「持续监控与优化」。
一、事件侦测 Incident Detection
在这个阶段里,XDR 会将不同来源的资料统整,方便后续解读。多个来源的系统资料,也较可以提供全面的资安事件资讯。然后对比已知的资安威胁情报,找出系统中是否有和已知的资安威胁相似的事件。并透过机器学习等方式,进阶分析收集到的资料是否有异常。
二、事件分析 Incident Analysis
若发现了系统中有异常事件,XDR 会再深入分析。结合从不同端点、云端位置、网路系统等的警告整合,建立新的资安事件。再依据已知的资讯,判断事件的严重程度,和处理事件的优先顺序。
三、采取回应 Response Actions
資安事件成立之後,XDR 系統會判別該事件為惡意或無害的事件,再作出相應的回應。
恶意事件:
- 封锁入侵者:封锁恶意入侵的 IP 位址、域名或档案。
- 隔离端点:将受影响的端点隔离,避免进一步影响系统中的其他位置。
- 会话(Session)管理:清除入侵者与系统的互动、撤销其权限,并强制执行多因子认证(MFA),以加强使用者身份管理。
- 密码重设:系统内合法的使用者更新密码,以免再次遭到利用。
无害事件:结束事件,尽可能地避免影响系统正常运作。
四、持续监控与优化
XDR 在即时做出回应之后,会持续监控与定期扫描,并学会辨认新的资安威胁,确保系统安全,避免未知的网路威胁影响整体 IT 系统运作。
XDR 的元件有哪些?
XDR 系统要做到实时监控、第一时间分析及回应异常事件,仰赖多个不同的元件同时作用。虽然实际使用上,XDR 系统可能会根据需求有不同的配置,但通常会包含以下元件:
- 资料来源:从云端、网路连线、端点、应用程式等不同来源输入系统相关资料,资料来源越多,XDR 对整体资讯系统的掌握度就越高。
- 分析或机器学习:用来深入学习、分析收集到的系统资料,在其中找寻固定模式,来辨识浅在的资安威胁与判断异常事件的严重程度。
- 资安威胁情报:XDR 辨识资安威胁,除了透过分析收集到的资料,也会依靠对于过去的资安威胁的了解,从中找寻和过去相同的攻击模式。
- 事件回应:以事先设定好的规则,在发现恶意攻击时,自动执行封锁等回应,提升缓解网路攻击的效率。
- 统一仪表板:让管理不同来源的资安警告和事件更容易。
- 其他资安系统:虽然使用 XDR 有众多优势,但仅依靠 XDR 安全性仍不足,搭配其他资安防护措施更能确保资讯安全。
XDR vs MDR vs EDR
「端点侦测及应变(EDR)」跟 XDR 同样也是透过监测与即时回应,来确保资讯安全的技术;而和「受管式侦测及应变(MDR)」则是将 EDR 工作外包给企业以外的第三方公司。 EDR 跟 XDR 的差别在于,EDR 的侦测范围较小,集中在端点;XDR 则是同时监控多元的系统和管道。
|
EDR |
MDR |
XDR |
|
|
属性 |
资安技术 |
资安服务 |
资安技术 |
|
监控范围 |
端点 |
端点 |
整个 IT 系统 |
|
优势 |
可侦测可疑活动 |
减少企业内部的人力成本 |
提供完整的资安资讯 |
|
适用对象 |
有资安专家的企业 |
无资安专家的企业 |
需要全面了解资安全貌的企业 |
XDR 可以取代 SIEM 嗎?
Security Information and Event Management,简称 SIEM,也是资讯安全的解决方案。同样透过侦测分析,来降低网路威胁对企业的伤害。虽然听起来很像,但 XDR 和 SIEM 还是有不同的地方:
- 资料来源:SIEM 分析的资料来源为防火墙、伺服器、应用程式和网路设备等的 Log 档;XDR 除了 Log 以外,更广泛的整合其他资料来源。也因此,XDR 对资安事件,较可以提供全面的资讯。
- 侦测范围:SIEM 主要针对网路相关的资料来源分析;XDR 同时收集网路与端点的资料。
- 侦测方式:SIEM 依赖预先设定好的规则寻找异常事件;XDR 多使用较先进的机器学习技术和威胁情报,可辨识出未知的新威胁。
- 自动化回应:发生资安事件时,SIEM 传统上以通知系统管理者为主要回应方式;XDR 则会以自动做出回应,阻止网路攻击继续。
虽然乍看之下,XDR 功能更好,但也不能用来取代 SIEM。 SIEM 和 XDR 在资安防护上,更像是相辅相成的关系。同时使用,可以加强对于网路攻击的抵御效果。
企业导入 XDR 考量
XDR 可以提供企业跨平台、多层次的资安防护,在建立 XDR 系统时,企业需要考虑什么呢?
- 集中整合资安资料。
- 善用进阶分析、威胁情报与 AI 关联分析。
- 定期更新 XDR 系统,例如 AI 模型、最新的资安威胁类型等
- 追踪使用者行为模式:协助系统分别恶意行为与一般使用的行为。
XDR 整合端点、网路、应用程式等多种数据来源,全面监控系统内的活动,精准侦测威胁并迅速作出回应,降低企业遭受攻击的风险。然而,XDR 并非万能,仍需与 SIEM 等其他资安技术相辅相成,以最适合自己企业的资安架构。
立即联络晟崴科技,为您量身打造资安解决方案
