Limitless XDR 通过将 SIEM、终端保护和云安全功能集于一个平台之上,能够对多年的数据进行分析,自动化关键流程,并将原生的终端安全功能引入每台主机,实现了现代化的网络安全运营。
如今,安全供应商越来越频繁地使用“XDR”(扩展检测和响应)这个术语,并根据各自的技术里采用不同的定义。这个术语自 EDR(终端检测和响应)演变而来,并试图通过使用“X”(扩展)来囊括调查过程中对不同数据源的需求。 尽管有各种不同的定义,核心概念依然不变:
- 可见性:数据的指数级增长使安全从业人员的工作越来越困难。他们需要一个集中的场所来执行分析、根本原因识别和补救计划制定。
- 分析:这种数据的集中收集不能成为数据沼泽。它必须为用户提供一个灵活的框架,以便大规模地组合、启用和监测新的分析用例。它还应当与分析人员的工作流无缝集成,以确定优先级别并构建攻击描述。
- 响应:这种集中解决方案需提供有效的事件响应。用户需要一种应对攻击的方法,最好能在攻击开始之前就将其阻止。“检测”勒索软件对组织没有帮助。原生的 Endpoint Security 能够将平均补救时间 (MTTR) 缩短到零。
X 表示扩展 (eXtended)
无限可见性
由终端安全产品演变而来的 XDR 解决方案的扩展程度通常无法实现采集和保留企业中数量大、种类多的数据源。在解决数据问题方面,Elastic 领先其他解决方案很多年,能够利用我们免费开源的架构来采集任何数据源。我们将数百个预构建集成的数据映射到了 Elastic Common Schema (ECS),而且我们的用户社区还会不断添加新的扩展程序。Elastic 代理是一个单一的安装程序,支持数百个集成,只需单击一下即可提供新的用例。
无限数据
攻击者的驻留时间远远超过大多数 SIEM 和 XDR 系统的当前保留时间。即使这些系统保留了数据,它们通常也会使分析速度慢得像蜗牛。Elastic 可对对象存储(如 Amazon S3)中的冻结数据进行操作,用于多年搜索、威胁情报、仪表板、报告等等。只需将时间范围从 2 周改为 2 年,分析人员就可以在几分钟内获得调整后的结果,以用于实时分析。
D 表示检测 (Detection)
无限分析
威胁在不断进化。检测和阻止它们需要深度防御。Elastic 可以为您的所有数据提供多个威胁检测层,从任意数量的数据源之间的关联性,到应用于多年信息的威胁情报,以及用于检测异常的 Machine Learning 模型,实现多层次深度防御。我们的团队进行了数百项对应于 MITRE ATT&CK® 的威胁检测和 Machine Learning 作业,以确保您在使用的第一天就实现价值。
我们已经开放了我们的检测开发成果,您可以直接与团队联系,并分享 Elastic 社区的智慧。我们的分级检测引擎架构允许采用新的检测规则来分析之前的检测,寻找高级的攻击进展。许多组织在不同的地理区域、云服务提供商和地区收集数据。回传信息成本高、效率低。Elastic 使用跨集群搜索,可以让您的搜索深入到数据中,在您的多云环境中支持所有这些分析,无需跨地区或跨供应商传输数据
R 表示响应 (Response)
最后,检测到的问题需要立即处理。现代响应能力要求能够在整个企业内采取行动,不仅仅是终止进程,还包括禁用用户、从服务器上删除电子邮件或在防火墙上阻止不良网域。分析人员需要一种简单、直观的方式来协作调查,制订补救计划,启动该计划,并报告其成功。
Elastic 包括免费开源的案例管理,用户利用案例功能与他们的团队进行沟通和协作。案例已经扩展到与主要补救措施供应商无缝集成,如 ServiceNow ITSM、ServiceNow SecOps、IBM Resilient、JIRA 和 Swimlane,融入任何规模企业的现有补救工作流。此外,我们的 API 优先开发和 Webhook 功能实现了与任何其他生产效率工具集成。
当然,Elastic 还提供一种集中的方式来协调数据收集和策略执行,比如自动隔离恶意文件和阻止勒索软件。在补救期间,每种操作系统 (Windows、macOS 和 Linux) 上的 Osquery 管理都允许我们的用户收集在事件过程中需要的任何其他信息。当发现攻击时,Windows 和 macOS 上简单的一键式主机隔离功能将阻止对手在您构建响应计划时窃取或破坏数据。此响应位于用户模式防火墙之下,在内核级别实施控制以防止恶意篡改。
A(隐藏字母)表示自动化 (Automation)
有了所有这些额外的可见性,XDR 解决方案还必须帮助执行自动化分析流程,以确保跨不同数据源的效率。许多功能的运行便于实施并大规模应用分析人员工作流:
一键式数据采集
安全团队经常被要求监控来自企业的新数据源,如云基础设施、SaaS 身份验证提供商和点安全产品。分析人员需要花时间寻找数据中的价值,而不是构建采集管道。Elastic 代理提供了一种快速、简单的方法来采集、规范化和应用数据,包括仪表板、模型、规则等。
将检测范围扩展到所有数据源
除了要具备各类检测能力外,用户还需要确保他们能获得持续的高质量检测,保持最新状态以应对未来的高级威胁。Elastic 团队与积极参与和出色的社区合作,使这个开源检测规则存储库保持最新状态。
加速分析人员决策
随着数据源的增长和跨这些数据源的检测的增加,分析人员的工作量必然会增加。首先,您的 XDR 解决方案不仅需要发出警报,还需要告诉您应该首先调查哪个警报(或哪一系列的警报)。Elastic 使用所有数据源的上下文,对环境中主机的风险进行评分,以基于对企业的最高风险对检测进行优先级排序。第二,通过使用以前的检测、案例和威胁情报中的知识来丰富警报内容,分析人员可以更容易确定是否需要升级某个方面。第三,需要指导分析人员通过后续步骤,以最短的时间来解决问题。Elastic 提供了检测的调查指南,以帮助分析人员理解最有用的后续步骤。
Limitless XDR 使用模式
按资源使用量的定价模式,便于您通过灵活的许可来进行把控。避免严苛的许可模式干扰您的任务。使用 Elastic,不论您有多少用例、数据量或者终端,都只需为您使用的服务器资源付费即可。结果就是:不仅定价可以预测,而且您还可基于自身需求灵活进行调整。
Elastic 安全的使命就是保护全世界的数据不受攻击。我们在防护领域不断创新,以确保世界各地的用户免受未来的攻击。这个解决方案在一个专为无限分析而构建的单一平台上提供免费且开放的 SIEM、Endpoint Security 和 XDR 功能,使安全专业人员能够在网络攻击造成损害之前进行预防、检测和响应,防患于未然。
