На прошедшей недавно конференции
SOC Forum активно обсуждались новинки на рынке: SOAR, XDR, MDR. Я выбирал что принести нового:
Autonomous Digital Experience Monitoring или
External Attack Surface Management и выбрал EASM. Об этом напишу позже.
Я вдруг осознал на лекциях, что многие заказчики воспринимают новые технологии, лишь как переименование старых. Например, сейчас попробуйте сами ответить на вопрос: чем XDR отличается от SIEM?
И на конференции как раз прозвучал такой вопрос: а если я поставлю
Sysmon и буду отправлять логи sysmon и NGFW в SIEM, то получу ли я такой же функционал как в XDR?
Если отвечать коротко, то основное различие простое: XDR блокирует атаки, а SIEM+Sysmon детектирует. И это самое важное. Также давайте рассмотрим подробнее и другие аспекты.
Для начала приведу часть вопросов, которые задаю заказчикам и они мне про функционалу XDR )
Функционал
У вас есть шифрование дисков?
У вас защищаются флешки?
Сколько у вас консолей управления защитой рабочих станций?
Можете определить имеющиеся уязвимости на Windows, MacOS, Linux?
Можете делать форенсику удаленно?
Поддерживаете ipv6?
Блокируете эксплойты для Linux?
Отправляете файлы в песочницу?
Можете ли вы собрать в единую цепочку события от хостов и сетевых устройств?
Получаете события от сторонних источников?
Инциденты связаны с базой TI?
Containment
Как вы изолируете Windows, MacOS, Linux?
Куда вы шлете команды на блокировку на NGFW или на хосты?
Можете ли вы найти в своей сети устройство, на котором нет агента? Как?
Можете ли вы хранить данные больше 6 месяцев? Среднее время обнаружения инцидента 300 дней. Это 10 месяцев.
Можно редактировать IoA? BIOC?
UEBA есть на основе событий NGFW?
Инвентаризация есть: пользователей, групп, дисков, сервисов, драйверов, автозапуска, демонов, точек монтирования?
Инциденты можно забрать по API?
Умеете запускать скрипт на питоне на всех операционках?
До появления XDR, на все эти вопросы можно было ответить имея в наличии несколько разных систем: SOAR, TIP, SIEM, EPP, сканер безопасности, правильно настроенные системы защиты операционных систем. В общем это все решить можно в комплексе. Если у вас только SIEM+Sysmon - вряд ли вы решите перечисленные выше задачи.
С появлением XDR у вас появился единый интерфейс, в котором вы можете ответить на все эти вопросы и быстро расследовать инциденты, заблокировать распространение угроз. И тут уже нужно констатировать, что XDR продукты сильно сложнее: в них интегрированы агенты, которые защищают хосты, в них работают все ранее известные техники защиты и добавлены поведенческие техники. Причем, если в SIEM поведенческие техники и индикаторы поведения вы отрабатываете отдельно от хоста, то в XDR они работают на каждом хосте, даже когда он отключен от системы управления. И именно на этом основаны техники своевременного предотвращения распространения шифровальщиков, руткитов и другого вредоносного кода.
Пример behaviour indicator of compromise правил внутри Cortex XDR
Итак, какие проблемы вашей службы безопасности призваны решить решения XDR?
1. Слишком много событий => вы упускаете из виду атаки или вы не успеваете их расследовать.
2. Слишком много утилит безопасности => аналитику не хватает экспертизы пользоваться всеми сразу, чтобы понять что же явилось причиной возникшей проблемы.
Зачем переходят на XDR:
Автоматически создавать и расследовать инцидент: для этого требуется собирать не только события безопасности, но и обычные события: создание процессов, файлов, соединения через NGFW. В SIEM тоже можно начать отправлять вообще все события на хостах и в сети. Но готов ли ваш SIEM и его движок корреляции? Сколько событий в секунду он может коррелировать? (не принимать, а коррелировать).
Ускорить время расследования инцидента. Различные производители показывают фантастические результаты: почти мгновенно аналитик SOС получает готовый расследованный инцидент в виде картинки следующих друг за другом событий: root cause analysis.
Сгруппировать поток событий в один инцидент автоматически и показать только самые важные автоматически. Надо отдать должное SIEM - это в них тоже заложено. Но сравнить как это сделано в SIEM и как это сделано в XDR - очень советую.
Схема объединения событий с хоста и из сети в событие XDR.
