什麼是 Limitless XDR 一 任意提取、保存、分析安全資料

Elastic – Apache Log4j 漏洞官方建議處置
2021-12-27
2022-研討會封面
《歐立威科技 2022 研討會》1/12 | Greenplum PXF – 跨平台巨量資料查詢神器!
2021-12-28

Elastic Security 的最新功能向網路安全團隊證明了 Limitless XDR 的可能性。ELK 團隊將 SIEM 和 Endpoint Security 整合在單一平台,讓用戶能從不同來源提取和保留大量資料,也能保留較長時間的資料,此外也用監測及機器學習加強威脅狩獵 (threat hunting)。

資安廠商越來越頻繁地使用 “XDR”,但也因應他們各自的技術而有不同定義。這個詞是由 EDR (端點監測和回應機制)演變而來,原因是為了概括調查過程中各種資料源的需求,而取 “eXtend” 中的 “X” 作為縮寫。雖經歷不同的名稱演變,核心概念仍是以下三點:

  • 視覺化 (Visibility) : 資料的指數型成長讓從業人員工作越加複雜,他們需要一個集中方式來進行分析、根本原因分析和修復。
  • 分析 (Analytics):資料收集完不能單單是資料沼澤 (data swamp),它必須讓用戶能靈活編寫、啟用和監控新的分析案例。它也應該與分析人員的工作整合,以確定攻擊的優先順序及攻擊特徵。
  • 反應靈敏 (Response):這款核心的解決方案必須即時回應問題。用戶都需要一種回應攻擊的方法 一 最好在攻擊前就阻止它們。勒索軟體的「檢測」對組織並無幫助。原生的端點安全 (native endpoint security) 讓平均修復時間 (MTTR) 降到零。

 

最終,XDR 在 Elastic 被這樣定義:

 

XDR 讓安全作業現代化,使所有資料分析化為可能,並自動化關鍵流程,提供每台主機預防和修復能力。

許多 Elastic 用戶看到 XDR 會覺得:「我的安全程式已經在執行這個了。」事實上,收集多個資料源、大規模分析這些資料、檢測訊息中的威脅,而建立一個回應機制,再進行補救的概念可被視為諮詢安全監控中心 (SOC) 的理論。XDR 可以做到的是將這些工作匯集到統一的解決方案中,並在許可的情況下提供支援,以加快分析人員的分流、調查、升級和回應的時間 一 最終希望將這些功能帶給更多用戶。攻擊者的目標是任何人,不僅僅是那些 SOC 的人,對此 XDR 不只會幫助企業,也幫助那些未建立安全防護的人對抗來勢洶洶的攻擊。

當 Elastic 與 EPP 供應商 Endgame 合作時,Shay 和我們的願景一致,即為每位用戶整合 SIEM 和 Endpoint Security。這讓任何人 一 不只大型企業 一 都能預防、檢測和應對強烈的威脅。現在我們迎來了新的篇章,我們推出了和我們的安全分析和 SIEM 一樣體驗良好、功能強大,且普遍可用的端點安全功能( Endpoint Security )。整合 SIEM 和 Endpoint Security 的解決方案就是 XDR。

在 XDR 的新興市場中,Elastic 獨特之處在於解決方案是無限的 (limitless)

 

X 代表 eXtended (擴展)

Limitless visibility

從端點安全產品延伸出來的 XDR 解決方案通常無法擴展,無法提取和保留企業中大量和多樣的資料源。我們將上百個預建整合的資料繪製到 Elastic Common Schema (ECS),社群也不斷在擴展中。另外,Logstash 能收集任何自定義的資料。Elastic Agent 是單一的安裝程式,並支援上百個整合,一鍵按下就能提供新的實例。

Limitless data

攻擊者的停留時間遠遠超過目前多數 SIEM 和 XDR 系統的滯留時間。即便這些系統保留了資料,他們通常也會讓分析作業變得緩慢。Elastic 可以對物件存儲 (object storage) 中的凍結資料採取行動,如用於長期搜索、威脅情報、儀表板的 Amazon S3。只需將時間範圍從 2 週改成 2 年,幾分鐘後分析人員就能得到結果。

 

D 代表 detection (監測)

Limitless analysis

威脅不斷在改變,監測和阻止它們需要深度防禦。在 Elastic,您的所有資料都有許多檢測程序,從任何數量的資料源相關性、到數以年記的威脅偵測報告及檢測異常的機器學習上。我們的團隊提供數百個 MITRE ATT&CK® 安全檢測跟機器學習,讓您在第一天就看見成果。

我們已開放檢測階段,讓您直接與團隊聯繫,分享 Elastic 社群的知識。我們分層的檢測引擎架構可以讓新的檢測方式分析以前的檢測,追蹤攻擊的狀況。許多企業會在不同地理區域、雲端供應商和地區收集資料,回傳資訊的成本很高,效率也低。使用 Cross Cluster Search,Elastic 可以把搜索帶到資料上,並在多個雲端上啟用分析,無需跨地區或跨供應商傳輸這些資訊。

 

R 代表 Response (即時回應)

最後,檢測到的問題需即時解決。現今的修復機制需擴及整個組織 一 不僅要終止一個程序,還要中斷用戶、從伺服器上刪除郵件,或在防火牆上阻止不良的網域。分析人員需要簡單、直觀的方式來調查,擬定修復計畫,跟回報成功結果。

Elastic 有開放且免費的案例管理 一 用戶利用案例與他們的團隊溝通和協作。案例已發展到能與補救供應商整合,如:ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA 和 Swimlane,都是適合任何企業的補救方法。此外,我們優先開發的 API 和 webhooks 能整合到任何生產力工具。 

當然,Elastic Agent 提供集中協調資料收集和政策執行,如自動隔離誤譯軟體和阻止勒索軟體。在修復過程中,每個系統(Windows、macOS 和 Linux)上的 Osquery 管理讓用戶能收集過程中需要的資訊。當偵測到攻擊時,只需點擊一下的主機孤立功能,便能在您建立回應計畫時阻止對手竊取和破壞資料,這種回應機制是建立在用戶模式的防火牆下,並控制內核端,以防止對手竄改。

 

A (沒出現的字母) 代表 Automation (自動化)

除了以上功能,XDR 解決方案還必須讓分析人員的流程自動化,以確保不同資料源的效率。許多功能採用分析人員的工作流程,並大規模應用:

  • 一鍵式資料提取:資安團隊不斷被要求監控企業的新資料源,如雲端基礎架構、SaaS 認證供應商和端點安全產品。分析師需花時間挖掘資料價值,而非建立提取管道。Elastic Agent 提供了一個快速簡單的方法來提取、標準化和應用資料,包括儀表板、模型、規則等。
  • 在所有資料源上擴展監測:除了強大的監測類型之外,用戶還須確保他們持續有高品質的監測,並保有未來威脅的最新資訊。Elastic 團隊積極與社群合作,讓這個開放的監測規則庫保持在最新狀態。
  • 加快分析人員的決策:隨著資料源和監測不斷增加,分析人員的工作量必然也跟著增加。首先,您的 XDR 解決方案不僅需發出告警,還需告訴您哪個告警需優先調查。Elastic 利用所有資料源的內容,對環境中的主機風險進行評分,並根據最高的風險對其進行優先檢測。第二,將過去的監測、案例和威脅情報的資訊應用在告警上,分析人員可更容易確定是否需升級。第三,分析人員需要引導,以最快的時間解決問題,Elastic 為檢測提供調查指南,幫助分析人員作業。

    XDR 是開源、免費,且在 Elastic 中無可比擬

    Limitless usage

    基於資源的計價,讓您可用靈活的授權來控制。別讓僵化的授權干涉您的工作。有了 Elastic,無論您的使用情況、資料量或端點數量為何,只需依您的伺服器資源付費。讓成本是可預測的,且依需求靈活調整。

    Elastic Security 的使命是保護資料免受攻擊。Elastic 在保護領域不斷創新,以確保用戶的資料安全。該解決方案在單一平台中提供了 SIEM、Endpoint Security 和 XDR,使企業能在損害發生前預防、監測和應對。