Wyjaśnienie wykrywania i reagowania w sieci (NDR)

  • Kluczowe dania na wynos:
  • Do czego służy funkcja wykrywania i reagowania na incydenty sieciowe (NDR)?
    NDR nieustannie analizuje ruch sieciowy, buduje modele behawioralne w celu wykrywania anomalii i automatyzuje reakcje dzięki sztucznej inteligencji.
  • Jak NDR przekształciło się z NTA?
    Przeszliśmy od podstawowego monitorowania ruchu do zaawansowanej kontroli i automatycznej reakcji wykorzystującej analizę behawioralną i sygnaturową.
  • Jakie najważniejsze funkcje oferuje NDR serwisu Stellar Cyber?
    Głęboka inspekcja pakietów, rozproszone czujniki, scentralizowane jezioro danych, wykrywanie zagrożeń oparte na sztucznej inteligencji i automatyczna integracja SOAR.
  • W jaki sposób Stellar Cyber ​​zmniejsza objętość danych i poprawia wykrywalność?
    Rozwiązanie to umożliwia nawet 500-krotną redukcję danych przy jednoczesnym wzbogacaniu ich o informacje o zagrożeniach, co pozwala na korelację i reakcję w czasie rzeczywistym opartą na sztucznej inteligencji.
  • W jaki sposób NDR pomaga ujednolicić operacje bezpieczeństwa?
    Usługa NDR Stellar Cyber ​​jest zintegrowana z systemem Open XDR, co umożliwia płynną korelację z systemami SIEM, SOAR i UEBA w ramach jednej platformy.

Network Detection and Response (NDR) dodaje nową widoczność do sieci organizacji poprzez pasywne pobieranie i analizowanie wewnętrznej aktywności sieciowej. Wraz z pojawiającymi się LLM i nowymi wymaganiami stawianymi obronie sieci w głąb, narzędzia NDR już ewoluują poza tę podstawową zdolność. Gartner Raport NDR szczegółowo opisuje, w jaki sposób narzędzia dostępne na dzisiejszym rynku poszerzają granice dzięki rozszerzeniu LLM, multimodalnemu wykrywaniu zagrożeń i wdrożeniom opartym na IaaS.

Dalszy wpływ nowoczesnego NDR jest znaczący: bardziej spójna reakcja na incydenty, dokładniejsza analityka i szybsza analiza kryminalistyczna. Ten przewodnik to kompleksowe, dogłębne zanurzenie w NDR.

#tytuł_obrazu

Rozwiązania Gartner® Magic Quadrant™ NDR

Zobacz, dlaczego jesteśmy jedynym dostawcą umieszczonym w kwadrancie Challenger...

Dowiedz się więcej
#tytuł_obrazu

Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!

Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber ​​umożliwiającą natychmiastowe wykrywanie zagrożeń...

Zaplanuj demo

Jak działa NDR

NDR-y są wyjątkowe, ponieważ potrafią stale analizować pakiety sieciowe i metadane ruchu występujące w przepływach ruchu Wschód-Zachód (wewnętrzne) i między Północ-Południe (sieci wewnętrzne i publiczny internet). Każda indywidualna akcja sieciowa reprezentuje kluczowy punkt danych, który jest pobierany przez NDR – każdy jest następnie używany do zbudowania modelu codziennego zachowania sieci wewnętrznej.

Umożliwia to natychmiastowe wykrycie wszelkich odchyleń. Te nienaturalne wzorce są wysyłane do analityków w celu dalszej analizy w formie alertu; to tutaj ruch jest oceniany jako wskazujący na atak lub nieszkodliwy. Nowoczesne NDR-y z automatycznymi możliwościami reagowania mogą automatycznie wdrażać działania naprawcze – takie jak blokowanie IP – w odpowiedzi na rozpoznane zagrożenie. Dzięki temu sieć jest bezpieczna, podczas gdy analityk ustala jej legalność.

Ewolucja NDR

NDR może prześledzić swoje początki aż do Analiza ruchu sieciowego (NTA). To starsze narzędzie było wspólnie używane przez administratorów bezpieczeństwa i sieci: pozwalało im śledzić, które zasoby otrzymują ruch sieciowy, jak szybko każda aplikacja lub urządzenie odpowiada oraz ile ruchu jest wysyłane do i z określonych źródeł.

Jednak wraz z rozwojem krajobrazu zagrożeń na początku lat 2010. administratorzy ds. bezpieczeństwa odkryli, że dane o wolumenie sieci nie przedstawiają całej historii. Poleganie wyłącznie na NTA w celu wykrywania zagrożeń wymagało niezwykle doświadczonego i bystrego administratora sieci; pozostawiało wiele przypadkowi. Network Detection and Response kładzie nacisk na uniwersalne gromadzenie danych sieciowych, obok dodatkowej warstwy analizy.

Dzisiejsze narzędzia NDR wzmocnić tę podstawową analizę behawioralną poprzez porównanie podpisów plików i wdrożenie reguł. Po wykryciu potencjalnego zagrożenia NDR może automatycznie poddać podejrzane pliki kwarantannie, oznaczyć krytyczne informacje administratorom ds. bezpieczeństwa i powiązać alerty w ramach szerszych incydentów bezpieczeństwa.

Jaka jest rola NDR w cyberbezpieczeństwie

Tradycyjnie cyberbezpieczeństwo organizacji opierało się na statycznych narzędziach do wykrywania zagrożeń, takich jak programy antywirusowe i zapory sieciowe. Działały one w oparciu o wykrywanie oparte na sygnaturach, oceniając pliki wprowadzane do sieci lub udostępniane w sieci na podstawie wskaźników naruszenia znajdujących się w bazie danych każdego narzędzia.

Jednak ta konfiguracja – obecnie nazywana cyberbezpieczeństwem perymetrycznym – miała kilka wad. Na przykład, jeśli zapora nie jest stale aktualizowana, atakujący może prześlizgnąć się przez luki. Gdy pojedyncze urządzenie lub usługa zostaną naruszone, wówczas wykorzystywane jest wrodzone zaufanie między urządzeniami w sieci wewnętrznej, ponieważ atakujący rozpoczyna eskalację uprawnień.

NDR-y wykorzystują ten łańcuch ataków i rozpoznają, że niemal każdy atak dotyka co najmniej jednej sieci wewnętrznej. Zespoły ds. cyberbezpieczeństwa mogą wdrożyć rozwiązanie NDR zarówno w ruchu Północ-Południe, jak i Wschód-Zachód – zapewniając im widoczność ruchu przychodzącego do organizacji i udostępniając go odpowiednio urządzeniom wewnętrznym. Zamyka to jeden z największych punktów zaczepienia, na którym polegają atakujący. Nasze Przewodnik dla kupujących NDR szczegółowo opisuje sposób przetwarzania danych o ruchu i ich analizę pod kątem potencjalnie złośliwych działań.

Jaka jest rola NDR w Centrum Operacji Bezpieczeństwa (SOC)?

Nowoczesny SOC musi być wszędzie naraz: przy rozroście inherentnym dla nowoczesnych sieci, nie jest to łatwe zadanie. W rezultacie NDR odgrywa główną rolę w dzisiejszych wydajnych SOC, ponieważ jest scentralizowaną platformą wykrywania. Następujące możliwości mogą być dostarczone do SOC przez odpowiedni NDR.

Pełna widoczność sieci

Podstawowym elementem SOC jest jego zdolność do wykrywania i reagowania na zagrożenia w całym spektrum urządzeń, użytkowników i usług. Dane sieciowe są cennym źródłem informacji, ale specjaliści ds. segregacji i łowcy zagrożeń są często spowalniani przez ich ogromną ilość. Architektura NDR umożliwia automatyczne gromadzenie danych dotyczących pakietów, przepływu i dzienników z infrastruktury sieciowej i zapór sieciowych. Analizuje również zaszyfrowany ruch bez konieczności jego przechwytywania. Umożliwia to dogłębną analizę w celu uwzględnienia szerszego zakresu źródeł, zapewniając tym samym SOC bardziej kompleksowy obraz ich sieci.

Połączone alerty

Specjaliści ds. triage odgrywają kluczową rolę w obsłudze alertów bezpieczeństwa, gromadząc surowe dane i analizując przychodzące alarmy. Do ich obowiązków należy weryfikacja alertów, ocena lub dostosowanie ich powagi i wzbogacenie ich o informacje kontekstowe. Nowoczesne NDR-y przyspieszają to, integrując się z innymi narzędziami bezpieczeństwa i automatycznie sygnalizując anomalie sieciowe w szerszym kontekście – od wiadomości phishingowych po podejrzane pobieranie plików.

Szybka świadomość sieci

Menedżerowie SOC zdają sobie sprawę, jak dogłębna wiedza na temat sieci jest koniecznością. To zapotrzebowanie może utrudniać zatrudnianie i szkolenie nowych członków zespołu SOC oraz zabierać im dużo czasu. Dzięki NDR w SOC nawet nowi członkowie zespołu, którym brakuje wiedzy na temat sieci, mogą wdrożyć rozwiązanie NDR i zacząć identyfikować zagrożenia.

Szybka reakcja sieci

Analityczna moc NDR jest oferowana analitykom w intuicyjnym panelu. Ten interfejs użytkownika umożliwia automatyczne priorytetyzowanie alertów i pozwala na znacznie szybsze rozpoczęcie manualnych możliwości reagowania sieci.

NDR kontra wykrywanie i reagowanie w punktach końcowych (EDR)

Nowoczesne cyberbezpieczeństwo wymaga widoczności nie tylko działań sieciowych – EDR to odpowiednie rozwiązanie, które koncentruje się na zachowaniu punktów końcowych. Wykrywanie sieci i punktów końcowych jest dość proste: w ten sam sposób, w jaki NDR pobiera każdą akcję w sieci i umieszcza ją na szerszym wykresie trendów, EDR bierze każdą akcję na poziomie urządzenia i analizuje ją w odniesieniu do jej historycznego lub specyficznego dla roli zachowania.

Produkty EDR są zazwyczaj dostarczane za pośrednictwem wdrażalnego agenta punktu końcowego na każdym punkcie końcowym. Dzięki lokalnej obecności EDR może pobierać informacje o procesach, co pomaga identyfikować potencjalnie złośliwe programy poprzez monitorowanie procesów uruchomionych w systemie. Informacje o plikach są również badane w celu sprawdzenia integralności plików, podczas gdy informacje o użytkowniku weryfikują legalność każdego konta. Na koniec zbierane są informacje o systemie w celu utrzymania kompleksowego obrazu kondycji punktu końcowego.

Zamiast NDR kontra EDR, większość organizacji wdraża NDR obok EDR – pozwala to na śledzenie i monitorowanie całego łańcucha ataków. Od początkowego naruszenia konta do eskalacji uprawnień na poziomie sieci i ostatecznego wdrożenia złośliwego oprogramowania, całość złożonych ataków można wykryć z wyprzedzeniem. Widząc potencjał tego, niektórzy dostawcy rozwiązań cyberbezpieczeństwa zaczęli oferować kolejną warstwę analizy i koordynacji między nimi – rozszerzone wykrywanie i reagowanie (XDR).

Jak NDR wypada w porównaniu z EDR i XDR?

NDR, EDR i XDR to subtelnie odrębne technologie, z których każda jest ukierunkowana na różne aspekty procesów identyfikacji i reagowania na zagrożenia. Mają również różne zakresy – od specyficznego dla sieci po całą powierzchnię ataku organizacji.

NDR (wykrywanie i reagowanie w sieci)

EDR (wykrywanie i reagowanie w punktach końcowych)

XDR (Rozszerzone wykrywanie i reagowanie)
Zakres Ruch sieciowy. Punkty końcowe (laptopy, serwery, urządzenia). Wszystko (punkty końcowe, sieć, chmura).
Podstawowe źródła danych Metadane sieciowe, przepływy ruchu. Dane telemetryczne punktów końcowych, zachowanie plików i procesów. Agregowana telemetria obejmująca wiele domen.
Możliwości reagowania Ograniczone do działań na poziomie sieci, oferujące coraz częściej automatyczną odpowiedź. Odnosi się do odpowiedzi specyficznych dla punktu końcowego, takich jak kwarantanna. Oferuje pełną swobodę zautomatyzowanej odpowiedzi międzyplatformowej.
Złożoność wdrożenia Średni (wymaga integracji sieciowej). Średni (wymaga instalacji agenta na punktach końcowych). Wysoki (wymaga integracji ze wszystkimi platformami zabezpieczeń lub głównymi źródłami danych).
Najlepszy przypadek użycia Wykrywanie ruchu bocznego i ukrytych zagrożeń. Identyfikacja zagrożonych punktów końcowych. Kompleksowe wykrywanie zagrożeń i reagowanie na nie.

Techniki stosowane w rozwiązaniach NDR

Ponieważ rejestry NDR nieustannie przetwarzają i analizują duże ilości danych, ważne jest zrozumienie różnych strategii, jakie stosują w odpowiedzi na złożone zagrożenia.

Analiza ruchu szyfrowanego

Zabezpieczanie zaszyfrowanego ruchu było tradycyjnie drażliwym tematem: a ponieważ zdecydowana większość dzisiejszego ruchu jest teraz szyfrowana, niemożność odpowiedniej analizy zaszyfrowanego ruchu może być poważnym niedopatrzeniem. Jednak odszyfrowanie wszystkich pakietów sieciowych w trakcie przesyłania może drastycznie zwiększyć ryzyko ujawnienia danych i tokenów.

Aby obejść ten problem, wiodące na rynku narzędzia często polegają na stosie technik NDR. Aby zapobiec wyciekom tokenów lub odszyfrowanych danych, czujniki można wdrożyć za serwerami proxy. Wykorzystuje to wykrywanie zaszyfrowanego ruchu i kieruje go za pośrednictwem serwera proxy: ruch jest odszyfrowywany jak zwykle, a czujniki przekazują następnie wszystkie informacje do centralnego silnika NDR. Tutaj możesz dowiedzieć się więcej o naszych możliwościach w zakresie NDR.

Jeśli serwery proxy nie są odpowiednie dla konkretnego przypadku użycia, możliwe jest dokładne wykrycie legalności ruchu poprzez jego wzorce. Całkowicie zaszyfrowany ruch można ocenić pod kątem złośliwego oprogramowania poprzez odcisk palca JA3, bez łamania jego szyfrowania. Ponadto wzorce i metadane mogą łączyć się, aby wykryć intencję stojącą za zaszyfrowanym pakietem, ponieważ czujnik nadal może wyodrębnić certyfikat serwera, adresy IP, nazwy domen, czas trwania sesji i liczbę bajtów z nagłówka pakietu i uzgadniania TLS/SSL.

Wreszcie, jeśli odszyfrowanie ruchu jest całkowicie konieczne, nowoczesne NDR-y mogą integrować się z usługami odszyfrowania pakietów. Następnie uzyskane dane sieciowe są wysyłane do centralnego silnika analizy w normalny sposób.

Automatyczne wykrywanie zasobów

Wiedza o tym, które urządzenia przesyłają dane do i z sieci, jest kluczowa. NDR-y automatycznie śledzą i dodają zasoby do pulpitu zarządzania zasobami, zgodnie z odpowiadającym im adresem MAC, adresem IP i nazwą hosta. Pozwala to następnie na wyświetlanie zagrożeń na poziomie sieci zgodnie z ich dotkniętymi zasobami.

Dekodowanie protokołu

Protokół sieciowy to ustalony zestaw reguł, które definiują sposób formatowania, przesyłania, odbierania i interpretowania danych między urządzeniami w sieci. Są to kluczowe elementy kontekstowej układanki; jako takie NDR-y zasadniczo odbudowują surowe dane, które mają, aby określić odpowiedni protokół. Następnie porównują rzeczywiste dane sieciowe z tym oczekiwanym protokołem, umożliwiając szybkie wykrywanie wszelkich odchyleń w ruchu. `

Analiza behawioralna

Oprócz protokołów stojących za każdym przepływem ruchu, NDR-y są w stanie zbudować model tego, jak każda sieć działa na co dzień. Na przykład przez kilka miesięcy pracownik może przesłać plik do określonej witryny przez SFTP o 10 rano. Kiedy nagle pracownik przesyła plik do 5 innych urządzeń wewnętrznych o 2 w nocy, wie, że należy oznaczyć tę podejrzaną czynność w celu dalszej analizy.

Jak wdrożyć wykrywanie i reagowanie na incydenty sieciowe

Wdrożenie NDR musi obejmować wszystkie sieci, na których polega Twoja organizacja – niezależnie od tego, czy jest to sieć oparta na chmurze, w pełni lokalna, czy też połączenie obu. Poniższe metody wdrażania powinny dać Ci z bliska pogląd na to, jak technicznie wdrażane są NDR-y w organizacji.

Rozmieszczenie czujnika

NDR wymaga, aby czujniki były rozmieszczone w każdej monitorowanej sieci. Istnieją jednak konkretne czujniki do różnych przypadków użycia, a pomyślne wdrożenie wymaga właściwego czujnika do danego zadania. Na przykład środowiska dystrybucji Linuksa potrzebują czujnika serwera Linuksa. Są one często wdrażane z ustaloną ilością dostępnych zasobów procesora, których może używać w dowolnym momencie, w celu ochrony jakości serwera podczas zbierania wykonań poleceń i dzienników. Serwery Windows również wymagają własnego typu czujnika; zbierają one pełny zakres Windows typy zdarzeń.

Modułowe czujniki to kolejny typ: umożliwiają one pakowanie konfigurowalnych funkcji wraz z czujnikiem. Na przykład może to obejmować Log Forwarding – jeśli zajdzie potrzeba wdrożenia z SIEM lub innym narzędziem bezpieczeństwa – i Network Traffic ingestion – zgodnie z wymaganiami NDR. W przypadku bardziej wymagających wymagań bezpieczeństwa modułowe czujniki można również wdrażać z systemami sandbox i wykrywania włamań.

Po zidentyfikowaniu prawidłowych czujników dla każdego wdrożenia ważne jest, aby odpowiednio je skonfigurować. Dostępnych jest wiele metod wdrażania: port SPAN jest jednym z najczęstszych i działa poprzez lustrzane odbicie ruchu sieciowego na przełączniku sieciowym do portu z czujnikiem NDR. Umożliwia to narzędziu NDR pasywne przechwytywanie pakietów całego ruchu kierowanego do tego portu.

Środowiska wirtualne opierają się na wdrażaniu wirtualnych punktów dostępowych, które przechwytują kopie danych przepływających między maszynami wirtualnymi wewnątrz hosta; fizyczne punkty dostępowe nie odbierają tego ruchu, ponieważ nigdy nie przechodzi on przez fizyczne kable sieciowe. Aktywność sieciowa zdalnych punktów końcowych może być monitorowana za pomocą kolektorów opartych na agentach; lekkich kolektorów, które instalują się bezpośrednio na urządzeniu.

Przetwarzanie danych

Ponieważ wszystkie dane są stale monitorowane przez czujniki, muszą zostać następnie wchłonięte i przeanalizowane przez centralny silnik analizy NDR. Odbywa się to za pomocą dwóch procesów: odbiorników i łączników. Pierwszy z nich to zadanie, które pobiera dane wejściowe z czujników i rozprowadza je między adresami IP lub numerami portów, z którymi nawiązywany jest kontakt – a drugi analizuje powiązane surowe dane pakietów sieciowych.

Pobierz i skonfiguruj

Pobieranie i konfigurowanie konsoli zarządzania NDR zależy od wybranego dostawcy – ale wszystkie powinny wymagać początkowego ustanowienia ról administratora, progów alertów i protokołów powiadomień. Tydzień lub dwa szkolenia to zazwyczaj minimalne wymaganie, gdy nowe narzędzie jest po raz pierwszy wdrażane; pomaga to ustalić, w jaki sposób integruje się ono z przepływami pracy analityków.

Włącz i dostosuj automatyczne odpowiedzi

Automatyczne odpowiedzi są kluczową funkcją nowoczesnych narzędzi NDR: stanowią również znaczną oszczędność czasu przed potencjalnymi atakami. W zależności od NDR, jego zautomatyzowane działania odpowiedzi, takie jak zakończenie sesji TCP, dynamiczna segmentacja sieci lub ograniczanie ruchu, muszą zostać skonfigurowane – wraz z profilem zachowania, który musi wywołać każdą akcję. Więcej informacji o wdrażaniu raportu NDR znajdziesz tutaj.

Integracja NDR z innymi narzędziami bezpieczeństwa

Zdolność NDR do budowania heurystycznych modeli normalnego zachowania sieci – a zatem wykrywania wszelkich odchyleń od niego – w dużym stopniu uzupełnia informacje dostarczane przez inne technologie bezpieczeństwa. Jeśli można je zintegrować, świadomość na poziomie sieci może zostać wprowadzona do każdego alertu. Poniższe narzędzia bezpieczeństwa to te, które widzą wspólne i udane integracje NDR.

EDR

Dzięki integracji EDR z NDR możliwe jest nie tylko uzyskanie pełnego zrozumienia łańcucha ataków – ale także automatyczne reagowanie na zagrożenia za pośrednictwem urządzenia EDR. Na przykład, gdy złośliwe oprogramowanie jest powiązane z urządzeniem, wspólne rozwiązanie EDR/NDR może automatycznie odizolować je od sieci. To ograniczenie zapobiega rozprzestrzenianiu się zagrożenia, jednocześnie dając zespołom ds. bezpieczeństwa możliwość zbadania incydentu i zastosowania niezbędnych środków zaradczych.

SIEM

Systemy SIEM są wszechobecne w zespołach ds. bezpieczeństwa – umożliwiają analizę i wykrywanie logów oraz są poprzednikami nowoczesnego zarządzania zagrożeniami. Jednak ponieważ systemy SIEM obsługują tak wiele logów – a same logi nie zapewniają najbardziej dogłębnej widoczności zagrożeń – systemy SIEM są bardzo podatne na fałszywe alarmy. Rezultatem są tysiące alertów dziennie, których funkcjonalnie nie da się ręcznie przejrzeć.

NDR-y umożliwiają ustanowienie warstwy uwierzytelniania – kiedykolwiek SIEM wykryje potencjalny incydent, odpowiednie dane sieciowe mogą zostać przeanalizowane. Jeśli oba źródła danych wskazują na atak, alert może zostać wydany za pośrednictwem centralnego pulpitu NDR. Pomaga to nie tylko odfiltrować nieprawidłowe alerty, ale także daje analitykowi dokonującemu przeglądu lepszą podstawę do pracy.

Zapory

NDR zwiększa inteligencję zagrożeń zapory sieciowej, wykrywając nietypowe lub złośliwe zachowanie sieci. Ponieważ śledzi zachowanie do określonego adresu IP, te informacje w czasie rzeczywistym mogą być następnie wysyłane do zapory sieciowej, która jest wdrożona wokół każdej sieci lub podsieci. Następnie automatycznie buduje i egzekwuje odpowiednią politykę, blokując podejrzany ruch.

Brzmi zbyt dobrze, żeby...
Mów prawdę?
Zobacz to sam!

Poproś o demo

 

 

 

 

Produkty

PORÓWNAJ

Partnerzy

Zasoby

Firma

Dla przedsiębiorstw

Dla MSSP

Możliwości i technologia

Sieć

Przypadków użycia

Dla infrastruktury

Szukaj
#tytuł_obrazu
© 2025 Stellar Cyber ​​Wszelkie prawa zastrzeżone | 2590 N First St Suite 360 ​​San Jose, CA 95131
LinkedIn YouTube
Przewiń do góry
Zarejestruj się, aby otrzymywać biuletyny