News

Limitless XDR definido: ingestão, retenção e análise de dados de segurança livremente

Os recursos mais recentes do Elastic Security definem o potencial do XDR para as equipes de segurança cibernética. Nossa plataforma única reúne SIEM e segurança de endpoint, permitindo aos usuários ingerir e reter grandes volumes de dados de diversas fontes, armazenar e buscar dados por mais tempo e ampliar a caça a ameaças com detecções e machine learning.

Os fornecedores de soluções de segurança estão usando o termo “XDR” com frequência cada vez maior, aplicando definições variadas para se adequar às suas respectivas tecnologias. O termo começou como uma evolução de EDR (detecção e resposta de endpoint) e tentou encapsular a necessidade de fontes de dados variadas no processo investigativo usando “X” para se referir a “eXtended” (estendido). Em meio a todas as variações nas definições, os conceitos centrais permanecem:

  • Visibilidade: o crescimento exponencial dos dados torna o trabalho do profissional de segurança cada vez mais difícil. Ele precisa de um local central para conduzir análises, identificação da causa raiz e planejamento de remediação.
  • Analítica: essa coleção central não pode ser um pântano de dados. Ela deve fornecer aos usuários um framework flexível para compor, possibilitar e monitorar novos casos de uso de analítica em escala. Deve também se integrar perfeitamente aos fluxos de trabalho do analista para priorizar e construir a narrativa de ataque. 
  • Resposta: essa solução central deve ser responsiva. Os usuários precisam encontrar uma maneira de remediar os ataques; seria ainda melhor evitá-los antes mesmo de começarem. A “detecção” de ransomware não ajuda uma organização. A segurança de endpoint nativa permite reduzir o tempo médio de remediação (MTTR) a zero.

Em última análise, nós da Elastic definimos o XDR desta forma:

O XDR moderniza as operações de segurança, viabilizando analítica em todos os dados e automatizando os principais processos para levar recursos de prevenção e remediação a cada host.

Muitos usuários da Elastic veem o termo XDR e pensam: “Já estou fazendo isso no meu programa de segurança”. Na verdade, o conceito de coletar várias fontes de dados, analisá-las em escala, detectar ameaças nas informações, construir um plano de resposta e conduzir a remediação pode ser visto como a doutrina de um SOC (centro de operações de segurança). O que o XDR está prometendo fazer é encapsular muito desse trabalho em uma solução unificada e fornecer ajuda onde possível para acelerar o fluxo de trabalho do analista de triagem, investigação, escalação e resposta, levando esse recurso para mais usuários. Os adversários têm como alvo qualquer pessoa, não apenas aqueles com SOCs, e o XDR promete ajudar não só as organizações empresariais, mas também aquelas que ainda não desenvolveram programas de segurança robustos para lutar contra esses ataques implacáveis.

Quando a Elastic uniu forças com a Endgame, um fornecedor de EPP, Shay compartilhou a nossa visão de unificar SIEM e segurança de endpoint para cada usuário. Essa democratização da segurança permite a qualquer um — não apenas grandes empresas — prevenir, detectar e responder a ameaças avançadas. Desde então, nossa jornada nos trouxe a este momento em que lançamos nossos recursos de segurança de endpoint em disponibilidade geral com a mesma experiência do usuário dos nossos recursos de SIEM/analítica de segurança. Essa fusão de soluções de SIEM e segurança de endpoint é o XDR.

O que torna a Elastic única no mercado emergente de XDR é que a nossa solução é sem limites.

X é de eXtended (estendido)

Visibilidade sem limites

As soluções de XDR que evoluíram a partir dos produtos de segurança de endpoint geralmente são incapazes de se redimensionar para ingerir e reter o volume e a diversidade das fontes de dados na sua empresa. A Elastic está anos à frente de outras soluções para resolver o problema dos dados, utilizando nossa arquitetura gratuita e aberta para ingerir qualquer fonte de dados. Nós mapeamos os dados de centenas de integrações pré-criadas para o Elastic Common Schema (ECS), e a nossa comunidade de usuários adiciona novas extensões continuamente. Além disso, o Logstash permite a coleta de dados customizada de qualquer tipo. O Elastic Agent é um instalador único que dá suporte para centenas de integrações, oferecendo novos casos de uso com apenas um clique.

Dados sem limites

Os tempos de permanência do invasor excedem em muito a retenção atual da maioria dos sistemas de SIEM e XDR. E mesmo que esses sistemas retenham os dados, eles normalmente tornam a análise muito lenta. A Elastic pode agir em dados congelados no armazenamento de objetos, como Amazon S3, para ter acesso a anos de busca, inteligência de ameaças, dashboards, relatórios e muito mais. Basta alterar o intervalo de tempo de duas semanas para dois anos e, em questão de minutos, os resultados estarão ao alcance dos analistas.

D é de Detecção

Análise sem limites

As ameaças evoluem constantemente. Para detectá-las e freá-las, é necessário contar com uma defesa profunda. Na Elastic, há inúmeras camadas de detecção disponíveis em todos os seus dados — desde a correlação em qualquer número de fontes de dados até a inteligência de ameaças aplicada a anos de informações e os modelos de machine learning detectando anomalias. Nossa equipe fornece centenas de detecções mapeadas pelo MITRE ATT&CK® e trabalhos de machine learning para garantir que você obtenha valor desde o primeiro dia. 

Nós abrimos o nosso desenvolvimento de detecções, permitindo que você se conecte diretamente à equipe e compartilhe a sabedoria da comunidade Elastic. Nossa arquitetura de mecanismo de detecção hierárquico permite que novas regras de detecção analisem detecções anteriores, procurando progressões de ataque avançadas. Muitas organizações coletam dados em diferentes áreas geográficas, provedores de serviços em nuvem e regiões. As informações de backhaul são caras e ineficientes. Usando a busca entre clusters, a Elastic pode levar a sua busca até os dados, capacitando toda essa analítica no seu ambiente multinuvem sem a necessidade de transferir dados entre regiões ou provedores

R é de Resposta

Por fim, os problemas detectados deverão ser resolvidos imediatamente. A remediação moderna requer a capacidade de agir em toda a empresa, não apenas eliminando um processo, mas também desabilitando um usuário, removendo um e-mail do servidor ou bloqueando um domínio inválido no firewall. Os analistas precisam de uma maneira simples e intuitiva de colaborar em uma investigação, criar um plano de remediação, lançá-lo e relatar seu sucesso. 

A Elastic inclui gerenciamento de caso gratuito e aberto — os usuários aproveitam o recurso de casos para se comunicar e colaborar com sua equipe. Os casos foram expandidos para se integrarem perfeitamente com os principais fornecedores de soluções de remediação, como ServiceNow ITSM, ServiceNow SecOps, IBM Resilient, JIRA e Swimlane, encaixando-se no fluxo de trabalho de remediação existente de empresas de qualquer escala. Além disso, nosso desenvolvimento que prioriza a API e nossos recursos de webhooks possibilitam a integração com qualquer outra ferramenta de produtividade.

E, claro, o Elastic Agent fornece uma maneira centralizada de coordenar a coleta de dados e a aplicação de políticas, como colocar arquivos maliciosos em quarentena automaticamente e bloquear o ransomware. Durante a remediação, o gerenciamento do Osquery em todos os sistemas operacionais (Windows, macOS e Linux) permite que nossos usuários coletem qualquer informação adicional necessária no processo de incidente. E quando um ataque for identificado, um simples recurso de isolamento de host com um clique no Windows e no macOS impedirá que o adversário roube ou destrua dados enquanto você cria o plano de resposta. Essa resposta está abaixo do firewall do modo de usuário, implementando o controle no nível do kernel para evitar a adulteração pelo adversário. 

A (a letra oculta) é de Automação

Com toda essa visibilidade adicional, as soluções de XDR também devem ajudar a automatizar o processo do analista para garantir a eficiência em diferentes fontes de dados. Muitos recursos trabalham para pegar o fluxo de trabalho do analista e aplicá-lo em escala:

  • Ingestão de dados com apenas um clique: as equipes de segurança são constantemente requisitadas para monitorar novas fontes de dados dos negócios, como infraestrutura de nuvem, provedores de autenticação de SaaS e produtos de segurança pontuais. Os analistas precisam gastar seu tempo descobrindo valor nos dados, não construindo pipelines de ingestão. O Elastic Agent fornece uma maneira rápida e fácil de ingerir, normalizar e aplicar os dados, incluindo dashboards, modelos, regras e muito mais. 
  • Redimensionamento de detecções em todas as fontes de dados: além do poder dos tipos de detecções, os usuários precisam garantir que também estejam sendo supridos com um fornecimento constante de detecções de qualidade, mantidas atualizadas contra as ameaças do amanhã. A equipe da Elastic, trabalhando com a comunidade incrível e ativamente engajada, mantém esse repositório aberto de regras de detecção sempre atualizado.
  • Aceleração das decisões do analista: com fontes de dados crescentes e detecções crescentes entre essas fontes, a carga de trabalho do analista tende a aumentar. Primeiro, a sua solução de XDR precisa não apenas alertar, mas também informar qual alerta (ou coleção de alertas) deve ser investigado primeiro. Usando o contexto de todas as fontes de dados, a Elastic pontua o risco dos hosts no ambiente para priorizar as detecções com base no maior risco para os negócios. Em segundo lugar, ao enriquecer os alertas com o conhecimento de detecções, casos e inteligência de ameaças anteriores, os analistas podem determinar mais facilmente se algo precisa ser escalado. Em terceiro lugar, os analistas precisam ser orientados quanto às próximas etapas para acelerar a resolução. A Elastic fornece guias de investigação para detecções a fim de ajudar um analista a compreender as próximas etapas mais úteis.

O XDR é gratuito, aberto e incomparável na Elastic

Uso sem limites

Com o preço baseado em recursos, você pode assumir o controle com licenciamento flexível. Não deixe que um modelo de licenciamento rígido interfira na sua missão. Com a Elastic, qualquer que seja o seu caso de uso, volume de dados ou número de endpoints, você pagará apenas pelos recursos do servidor que usar. O resultado são preços previsíveis e flexibilidade para se adaptar de acordo com as suas necessidades.

Nossa missão no Elastic Security é proteger os dados do mundo contra ataques. Estamos constantemente inovando no segmento de proteção para garantir que nossos usuários em todo o mundo estejam protegidos dos ataques de amanhã. A solução oferece recursos gratuitos e abertos de SIEM, segurança de endpoint e XDR em uma única plataforma criada para análise sem limites, possibilitando às organizações trabalhar na prevenção, detecção e resposta antes de qualquer dano.

Se você está começando agora a trabalhar com o Elastic Security, pode experimentar a nossa versão mais recente com o Elasticsearch Service no Elastic Cloud gratuitamente. 


XDR-vision-roadmap.png

ElasticON Global 2021

Join us at ElasticON Global for free!

Our biggest event of the year is back Oct 5-7. Take your organization's search, observability, or security capabilities to a whole new level.