什麼是 Limitless XDR 一任意提取、保存、分析安全資料

Elastic 產品資訊產品資訊 2021 年 12 月 28 日 最後更新時間 : 2024 年 1 月 19 日

內容目錄

Elastic Security 的最新功能向網路安全團隊證明了 Limitless XDR 的可能性。ELK 團隊將 SIEM 和 Endpoint Security 整合在單一平台，讓用戶能從不同來源提取和保留大量資料，也能保留較長時間的資料，此外也用監測及機器學習加強威脅狩獵 (threat hunting)。

資安廠商越來越頻繁地使用 “XDR”，但也因應他們各自的技術而有不同定義。這個詞是由 EDR (端點監測和回應機制）演變而來，原因是為了概括調查過程中各種資料源的需求，而取 “eXtend” 中的 “X” 作為縮寫。雖經歷不同的名稱演變，核心概念仍是以下三點：

視覺化 (Visibility) : 資料的指數型成長讓從業人員工作越加複雜，他們需要一個集中方式來進行分析、根本原因分析和修復。
分析 (Analytics)：資料收集完不能單單是資料沼澤 (data swamp)，它必須讓用戶能靈活編寫、啟用和監控新的分析案例。它也應該與分析人員的工作整合，以確定攻擊的優先順序及攻擊特徵。
反應靈敏 (Response)：這款核心的解決方案必須即時回應問題。用戶都需要一種回應攻擊的方法一最好在攻擊前就阻止它們。勒索軟體的「檢測」對組織並無幫助。原生的端點安全 (native endpoint security) 讓平均修復時間 (MTTR) 降到零。

最終，XDR 在 Elastic 被這樣定義：

XDR 讓安全作業現代化，使所有資料分析化為可能，並自動化關鍵流程，提供每台主機預防和修復能力。
許多 Elastic 用戶看到 XDR 會覺得：「我的安全程式已經在執行這個了。」事實上，收集多個資料源、大規模分析這些資料、檢測訊息中的威脅，而建立一個回應機制，再進行補救的概念可被視為諮詢安全監控中心 (SOC) 的理論。XDR 可以做到的是將這些工作匯集到統一的解決方案中，並在許可的情況下提供支援，以加快分析人員的分流、調查、升級和回應的時間一最終希望將這些功能帶給更多用戶。攻擊者的目標是任何人，不僅僅是那些 SOC 的人，對此 XDR 不只會幫助企業，也幫助那些未建立安全防護的人對抗來勢洶洶的攻擊。

當 Elastic 與 EPP 供應商 Endgame 合作時，Shay 和我們的願景一致，即為每位用戶整合 SIEM 和 Endpoint Security。這讓任何人一不只大型企業一都能預防、檢測和應對強烈的威脅。現在我們迎來了新的篇章，我們推出了和我們的安全分析和 SIEM 一樣體驗良好、功能強大，且普遍可用的端點安全功能( Endpoint Security )。整合 SIEM 和 Endpoint Security 的解決方案就是 XDR。

在 XDR 的新興市場中，Elastic 獨特之處在於解決方案是無限的 (limitless)

X 代表 eXtended (擴展)

Limitless visibility
從端點安全產品延伸出來的 XDR 解決方案通常無法擴展，無法提取和保留企業中大量和多樣的資料源。我們將上百個預建整合的資料繪製到 Elastic Common Schema (ECS)，社群也不斷在擴展中。另外，Logstash 能收集任何自定義的資料。Elastic Agent 是單一的安裝程式，並支援上百個整合，一鍵按下就能提供新的實例。

Limitless data
攻擊者的停留時間遠遠超過目前多數 SIEM 和 XDR 系統的滯留時間。即便這些系統保留了資料，他們通常也會讓分析作業變得緩慢。Elastic 可以對物件存儲 (object storage) 中的凍結資料採取行動，如用於長期搜索、威脅情報、儀表板的 Amazon S3。只需將時間範圍從 2 週改成 2 年，幾分鐘後分析人員就能得到結果。

D 代表 detection (監測)

Limitless analysis
威脅不斷在改變，監測和阻止它們需要深度防禦。在 Elastic，您的所有資料都有許多檢測程序，從任何數量的資料源相關性、到數以年記的威脅偵測報告及檢測異常的機器學習上。我們的團隊提供數百個 MITRE ATT&CK® 安全檢測跟機器學習，讓您在第一天就看見成果。

我們已開放檢測階段，讓您直接與團隊聯繫，分享 Elastic 社群的知識。我們分層的檢測引擎架構可以讓新的檢測方式分析以前的檢測，追蹤攻擊的狀況。許多企業會在不同地理區域、雲端供應商和地區收集資料，回傳資訊的成本很高，效率也低。使用 Cross Cluster Search，Elastic 可以把搜索帶到資料上，並在多個雲端上啟用分析，無需跨地區或跨供應商傳輸這些資訊。

R 代表 Response (即時回應)

最後，檢測到的問題需即時解決。現今的修復機制需擴及整個組織一不僅要終止一個程序，還要中斷用戶、從伺服器上刪除郵件，或在防火牆上阻止不良的網域。分析人員需要簡單、直觀的方式來調查，擬定修復計畫，跟回報成功結果。

Elastic 有開放且免費的案例管理一用戶利用案例與他們的團隊溝通和協作。案例已發展到能與補救供應商整合，如：ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA 和 Swimlane，都是適合任何企業的補救方法。此外，我們優先開發的 API 和 webhooks 能整合到任何生產力工具。

當然，Elastic Agent 提供集中協調資料收集和政策執行，如自動隔離誤譯軟體和阻止勒索軟體。在修復過程中，每個系統（Windows、macOS 和 Linux）上的 Osquery 管理讓用戶能收集過程中需要的資訊。當偵測到攻擊時，只需點擊一下的主機孤立功能，便能在您建立回應計畫時阻止對手竊取和破壞資料，這種回應機制是建立在用戶模式的防火牆下，並控制內核端，以防止對手竄改。

A (沒出現的字母) 代表 Automation (自動化)

除了以上功能，XDR 解決方案還必須讓分析人員的流程自動化，以確保不同資料源的效率。許多功能採用分析人員的工作流程，並大規模應用：

一鍵式資料提取：資安團隊不斷被要求監控企業的新資料源，如雲端基礎架構、SaaS 認證供應商和端點安全產品。分析師需花時間挖掘資料價值，而非建立提取管道。Elastic Agent 提供了一個快速簡單的方法來提取、標準化和應用資料，包括儀表板、模型、規則等。
在所有資料源上擴展監測：除了強大的監測類型之外，用戶還須確保他們持續有高品質的監測，並保有未來威脅的最新資訊。Elastic 團隊積極與社群合作，讓這個開放的監測規則庫保持在最新狀態。

加快分析人員的決策：隨著資料源和監測不斷增加，分析人員的工作量必然也跟著增加。首先，您的 XDR 解決方案不僅需發出告警，還需告訴您哪個告警需優先調查。Elastic 利用所有資料源的內容，對環境中的主機風險進行評分，並根據最高的風險對其進行優先檢測。第二，將過去的監測、案例和威脅情報的資訊應用在告警上，分析人員可更容易確定是否需升級。第三，分析人員需要引導，以最快的時間解決問題，Elastic 為檢測提供調查指南，幫助分析人員作業。