|
分布式XDR的检测分析框架 一、分布式XDR简介 分布式XDR是一款运行在客户本地的针对安全防护的检测响应设备,主模块主要包括安全监控、检测响应、风险管理、资产中心、配置管理、APP中心等。 通过安全监控可以对现网的网络安全状况以及接入设备的安全防护状态进行整体展示 检测响应是针对不同设备采集过来的日志信息进行数据解析、标准化处理、缝合编制等方法、三层聚合形成少量精准的安全事件以及还原攻击故事线方便运维人员研判处置。 风险管理是针对终端以及服务器层面所受到的不同层次、不同等级的风险状况进行展示,以及对不同风险的处置方法。 资产中心是针对终端资产进行管理展示,对终端资产的指纹信息进行采集,如服务器的端口暴漏面、威胁进程等信息进行采集展示。 配置管理主要是针对接入XDR的网络设备,XDR支持丰富的第三方设备接入以及联动处置安全告警和事件。 APP中心主要是针对物联网场景、自定义APP开发,以及流程化工单处置闭环等内容。 安全GPT: 云端智能AI,可以对事件以及攻击进行研判,新手也能完成复杂运维。
二、分布式XDR的检测分析框架 XDR的检测框架分析主要分为三个层面。 原始遥测数据--->安全日志--->安全告警--->安全事件; 2.1、原始的遥测数据(Telemetry) 亿级为单位,包括HTTP审计日志、端侧的原始行为日志以及三方安全设备的原始告警和日志。 来源: STA/EDR/三方设备原始日志
2.2、安全日志(Logs) 对遥测数据进行初步处理结果,或组件上报的检测结果未经聚合处理。 来源: EDR病毒日志库、IOA原始日志、SIP上报告警、SIME匹配输出。
2.3、安全告警(Alerts) 千级,XDR对Logs进行初步聚合,降低误报或其它进一步处理后的易研判的告警,告警之间是孤立的,存在一定程序误报。
2.4、安全事件(Incidents) 告警的1/30甚至更低,生成精准少量的事件,具备多源的多关联的设备来源,包括对事件的前因后果,事件的生命周期。 来源:对告警进行聚合、去重、屏蔽、过滤、冷却、关联、场景化定性输出。
XDR的三级引擎检测框架: (1)、一级引擎:通过对遥测数据的数据治理 , XDR对日志进行理解、对日志进行富化,生成标准的日志,通过NDR引擎、EDR引擎、自定义规则的一级检测机制最终生成安全日志。 关键词:基于高质量数据治理的多场景威胁复测 (2)、二级检测引擎:XDR设计了告警融合、告警聚合、攻击结果识别的三个降噪环节,对相同的告警名称、IP、时间等,进行细粒度的不同层次的告警进行聚合,通过多种场景模型对同一攻击事件在不同时间、不同阶段、不同手法下的告警进行聚合,通过攻击成功检测在众多攻击尝试和误报虚报中提取真实有效的攻击,最终提供少量精准的安全事件。 关键词:基于告警融合聚合、攻击结果识别的海量告警精准降噪
(3)、三级检测引擎:XDR攻击情境还原基于知识图谱、主机共性行为挖掘、攻击线索关联分析等技术,将同一事件的多种手法聚合在一起,在网侧和端侧关联、单终端和多终端还原等场景来还原攻击过程,建立威胁图谱,精确到主机上的攻击行为和判定结果。
关键词:基于端网关联和智能溯源的攻击情境还原
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-11-9 23:19
工程师3级 
