新闻

Limitless XDR 定义了:自由地采集、保留和分析安全数据

Elastic 安全的最新功能为网络安全团队确定了 XDR 的潜能。 我们的单一平台 将 SIEM 和 Endpoint Security 结合在一起,使用户能够从不同来源采集和保留大量数据,实现更长时间的数据存储和搜索,并通过检测和 Machine Learning 增强威胁搜寻能力。

安全供应商越来越频繁地使用“XDR”这个术语,将各种定义用到各自的技术当中。这个术语起源于 EDR(终端检测和响应)的演变,并试图通过使用“X”(扩展)来囊括调查过程中对不同数据源的需求。 尽管有各种不同的定义,核心概念依然不变:

  • 可见性:数据的指数级增长使安全从业人员的工作越来越困难。他们需要一个集中的场所来执行分析、根本原因识别和补救计划制定。
  • 分析:这种数据的集中收集不能成为数据沼泽。它必须为用户提供一个灵活的框架,以便大规模地组合、启用和监测新的分析用例。它还应当与分析人员的工作流无缝集成,以确定优先级别并构建攻击描述。 
  • 响应:这个核心解决方案必须是响应式的。用户需要一种应对攻击的方法,最好能在攻击开始之前就将其阻止。“检测”勒索软件对组织没有帮助。本机终端安全性允许将平均补救时间 (MTTR) 减少到零。

最终,在 Elastic,我们这样定义 XDR:

XDR 实现了安全操作的现代化,能够跨所有数据进行分析,并实现关键流程的自动化,为每台主机带来预防和补救能力。

Elastic 的许多用户看到术语 XDR 后会想“我已经在我的安全程序中这样做了”。 事实上,收集多个数据源、大规模分析它们、检测信息中的威胁、建立响应计划,并采取补救措施的概念可以被视为 SOC(安全运营中心)的原则。XDR 承诺要做的是将这项工作的许多内容封装到一个统一的解决方案中,并在可行时提供帮助,以加速分析人员分类、调查、升级和响应的工作流程,最终将此能力提供给更多用户。对手的目标是任何人,而不仅仅是那些有 SOC 的人,而 XDR 承诺不仅会帮助企业组织,还会帮助那些尚未建立健壮的安全程序来对抗这些无情攻击的人。

Elastic 与 EPP 供应商 Endgame 展开了合作Shay 分享了我们为每个用户统一 SIEM 和终端安全的愿景。这种安全的大众化使任何人(不仅仅是大型企业)都可以预防、检测和应对高级威胁。从那时起,我们的发展历程就进入到了这一层面:我们已推出了可普遍适用的终端安全功能,其用户体验与我们的安全分析/SIEM 功能相同。SIEM 和 Endpoint Security 解决方案的这一次合并就是 XDR。

在新兴的 XDR 市场中,Elastic 的独特之处在于我们的解决方案是无限的

X 表示扩展 (eXtended)

无限可见性

由终端安全产品演变而来的 XDR 解决方案的扩展程度通常无法实现采集和保留企业中数量大、种类多的数据源。在解决数据问题方面,Elastic 领先其他解决方案很多年,能够利用我们免费开源的架构来采集任何数据源。 我们将数百个预构建集成的数据映射到 Elastic Common Schema (ECS),而且我们的用户社区会不断添加新的扩展。此外,Logstash 支持任何类型的定制数据收集。 Elastic 代理是一个单一的安装程序,支持数百个集成,只需单击一下即可提供新的用例。

无限数据

攻击者的驻留时间远远超过大多数 SIEM 和 XDR 系统的当前保留时间。即使这些系统保留了数据,它们通常也会使分析速度慢得像蜗牛。Elastic 可对对象存储(如 Amazon S3)中的冻结数据进行操作,用于多年搜索、威胁情报、仪表板、报告等等。只需简单地将时间范围从 2 周改为 2 年,结果就会在几分钟内呈现在分析人员的面前。

D 表示检测 (Detection)

无限分析

威胁在不断进化。检测和阻止它们需要深度防御。Elastic 可以为您的所有数据提供多个检测层,从任意数量数据源的相关性,到应用于多年信息的威胁情报,以及机器学习模型检测异常。我们的团队进行了数百项 MITRE ATT&CK® 映射的检测和 Machine Learning 作业,以确保您在使用的第一天就实现价值。 

我们已经开放了我们的检测开发,您可以直接与团队联系,并分享 Elastic 社区的智慧。我们的分级检测引擎架构允许采用新的检测规则来分析之前的检测,寻找高级的攻击进展。许多组织在不同的地理区域、云服务提供商和地区收集数据。回传信息成本高、效率低。Elastic 使用跨集群搜索,可以让您的搜索深入到数据中,在您的多云环境中支持所有这些分析,无需跨地区或跨供应商传输数据

R 表示响应 (Response)

最后,检测到的问题需要立即处理。现代的补救措施需要跨企业采取行动的能力,不仅仅是通过终止进程,还包括禁用用户、从服务器上删除电子邮件或在防火墙上阻止坏域。分析人员需要一种简单、直观的方式来协作调查,制订补救计划,启动该计划,并报告其成功。 

Elastic 包括免费开源的案例管理,用户利用案例功能与他们的团队进行沟通和协作。案例已经扩展到与主要补救措施供应商无缝集成,如 ServiceNow ITSM、ServiceNow SecOps、IBM Resilient、JIRA 和 Swimlane,融入任何规模企业的现有补救工作流。此外,我们的 API 优先开发和 Webhook 功能实现了与任何其他生产效率工具集成。

当然,Elastic 代理还提供一种集中的方式来协调数据收集和策略执行,比如自动隔离恶意文件和阻止勒索软件。在补救期间,每种操作系统 (Windows、macOS 和 Linux) 上的 Osquery 管理都允许我们的用户收集在事件过程中需要的任何其他信息。当发现攻击时,Windows 和 macOS 上简单的一键式主机隔离功能将阻止对手在您构建响应计划时窃取或破坏数据。此响应位于用户模式防火墙之下,在内核级别实施控制以防止恶意篡改。 

A(隐藏字母)表示自动化 (Automation)

有了所有这些额外的可见性,XDR 解决方案还必须帮助执行自动化分析流程,以确保跨不同数据源的效率。许多功能的运行便于实施并大规模应用分析人员工作流:

  • 一键式数据采集:安全团队经常被要求监控来自企业的新数据源,如云基础设施、SaaS 身份验证提供商和点安全产品。分析人员需要花时间寻找数据中的价值,而不是构建采集管道。Elastic 代理提供了一种快速、简单的方法来采集、规范化和应用数据,包括仪表板、模型、规则等。 
  • 跨所有数据源的扩展检测:除了检测类型的能力之外,用户还需要确保他们也获得了持续的质量检测,保持更新以应对未来的威胁。Elastic 团队与积极参与和出色的社区合作,使这个开源检测规则存储库保持最新状态。
  • 加速分析人员决策:随着数据源的增长和跨这些数据源的检测的增加,分析人员的工作量必然会增加。首先,您的 XDR 解决方案不仅需要发出警报,还需要告诉您应该首先调查哪个警报(或哪一系列的警报)。Elastic 使用所有数据源的上下文,对环境中主机的风险进行评分,以基于对企业的最高风险对检测进行优先级排序。第二,通过使用以前的检测、案例和威胁情报中的知识来丰富警报内容,分析人员可以更容易确定是否需要升级某个方面。第三,需要指导分析人员通过后续步骤,以最短的时间来解决问题。Elastic 提供了检测的调查指南,以帮助分析人员理解最有用的后续步骤。

在 Elastic,XDR 免费、开源且无与伦比

无限使用

按资源使用量的定价模式,便于您通过灵活的许可来进行把控。避免严苛的许可模式干扰您的任务。使用 Elastic,不论您有多少用例、数据量或者终端,都只需为使用的服务器资源付费。因此成本业绩可以预测,而且可基于需求灵活调整。

 Elastic 安全 的使命就是保护全世界的数据不受攻击。我们在防护领域不断创新,以确保世界各地的用户免受未来的攻击。这个解决方案在一个为无限分析而构建的单一平台上提供免费开源的 SIEM、终端安全性和 XDR 功能,使组织能够在损害发生之前进行预防、检测和响应。

如果您是  Elastic 安全的新用户,您可以免费在 Elastic Cloud 上体验我们  Elasticsearch 服务 的最新版本。 


XDR-vision-roadmap.png