XDR(可扩展威胁检测与响应)近些年来一直是网络安全领域的技术热词,作为 Gartner 在2020年《Top Security and Risk Management Trends》报告中提到第一项技术和解决方案,XDR因为自动化程度高、检测能力多样等特点受到行业广泛关注。
XDR是什么?
ESG将XDR定义为跨混合IT架构安全产品的集成套件,负责威胁预防、检测和响应等多个安全要素之间的协调和互操作。换句话说,XDR可以把控制点、安全检测、分析与操作整合到统一的管理系统中。
绿盟智能安全运营平台(ISOP)融合XDR的能力,利用人工智能(AI)进行事件调查响应,以集成、开放的架构设计简化了安全防护工作,通过低成本的安全编排与响应能力降低安全运营复杂性、加快检测速度,协调各个安全组件响应跨整改组织的威胁攻击,在专有界面中提供全面的可视性,从根本上减少威胁驻留时间和人工操作,帮助企业抵御攻击。
- 提供丰富的“跨堆栈”可见性以及从多个异构数据源无缝获取安全要素的能力
ISOP可以使企业从任何技术产品或平台实时无缝地提取各类安全数据,打破数据孤岛并清除关键盲点,并可以从可视化面绿盟智能安全运营平台(ISOP)可以使用户从任何技术产品或平台实时无缝提取各类安全数据,打破数据孤岛并清除关键盲点,并从可视化面板中查看来自各个产品或平台实时收集的数据情况,包括端点、网络设备和各类安全设备等,可以帮助分析人员从不同类型数据中将安全要素信息聚合到单个攻击“事件”中获得洞察力,还可以为客户提供“中央执行和分析层点”式展示,以实现完整的企业可见性和自主预防、检测和响应,以帮助组织从统一的角度应对网络安全挑战。
2. ISOP提供基于ATT&CK链2.提供基于ATT&CK链式威胁检测,通过集成的威胁情报自动丰富威胁面
ISOP借助端点数据采集绿盟智能安全运营平台(ISOP)借助端点数据采集,按照场景化检测,明确当前所处的攻击活动阶段,并采用智能决策推理,实现向上推理,完成ATT&CK知识和攻击模式映射,指导安全人员发现安全问题。
绿盟智能安全运营平台(ISOP)集成了绿盟威胁情报NTI,用于检测和丰富威胁语境,可以帮助安全团队获得关于攻击IOC的额外上下文风险信息,如攻击IP、漏洞、MD5、URL等各类安全情报信息。用户也可以利用云端的NTI情报自行搜索查询,获取新的IOC和战术、技术等信息。
3. ISOP通过开放灵活的SOAR能力有效应对各类安全场景事件闭环保障
绿盟智能安全运营平台(ISOP)的SOAR能力强调快速响应和解放人力,传统的安全事件分析响应将近3小时左右,通过SOAR 能力3分钟即可完成封堵和通报等响应任务。系统内置了主流运营场景的案例集,对于经验反馈可以固化事件处理流程,可以进行据本化自动化处置响应。针对各类应急事件,实现自动化封堵,自动化完成检测、通报、处置,保障事件快速响应。
XDR重点关注威胁检测和响应,通过其可以打破壁垒,将安全产品天然融合在一起,产生1+1>2的效果,将终端、流量、认证、邮件等相关安全产品的安全数据集成在一起进行关联分析。ISOP的XDR能力不单单只局限于上述3项场景能力中,攻击连可视、上下文关联分析、威胁狩猎、追踪溯源、实现跨不同域自动化响应都是ISOP XDR的核心能力场景。ISOP 的XDR能力价值在于提供安全运营的效率和价值,增强检测和响应能力的同时,降低安全运营的复杂度,降低安全运营的对接成本和使用成本;通过集成安全产品开箱即用的方式实现安全能力的统一配合和协调。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。