คำอธิบายการตรวจจับและตอบสนองเครือข่าย (NDR)

  • ประเด็นที่สำคัญ:
  • Network Detection and Response (NDR) ทำอะไร?
    NDR วิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่ายอย่างต่อเนื่อง สร้างโมเดลพฤติกรรมเพื่อตรวจจับความผิดปกติ และตอบสนองโดยอัตโนมัติด้วย AI
  • NDR มีวิวัฒนาการมาจาก NTA อย่างไร?
    เปลี่ยนจากการตรวจสอบการจราจรขั้นพื้นฐานไปเป็นการตรวจสอบขั้นสูงและการตอบสนองอัตโนมัติโดยใช้การวิเคราะห์พฤติกรรมและลายเซ็น
  • NDR ของ Stellar Cyber ​​มีคุณสมบัติหลักอะไรบ้าง?
    การตรวจสอบแพ็กเก็ตแบบเจาะลึก เซ็นเซอร์แบบกระจาย ทะเลสาบข้อมูลส่วนกลาง การตรวจจับภัยคุกคามที่ใช้ AI และการรวม SOAR อัตโนมัติ
  • Stellar Cyber ​​ลดปริมาณข้อมูลและปรับปรุงการตรวจจับได้อย่างไร
    ช่วยลดข้อมูลได้ถึง 500 เท่า พร้อมเสริมด้วยข้อมูลภัยคุกคาม ช่วยให้สามารถสร้างความสัมพันธ์และตอบสนองโดยขับเคลื่อนด้วย AI แบบเรียลไทม์
  • NDR ช่วยรวมการปฏิบัติการรักษาความปลอดภัยได้อย่างไร
    ระบบ NDR ของ Stellar Cyber ​​ถูกรวมเข้ากับ... Open XDRทำให้สามารถเชื่อมโยงข้อมูลได้อย่างราบรื่น SIEM, SOAR และ UEBA ในแพลตฟอร์มเดียว

การตรวจจับและตอบสนองเครือข่าย (NDR) เพิ่มการมองเห็นใหม่ให้กับเครือข่ายขององค์กรด้วยการรับและวิเคราะห์กิจกรรมเครือข่ายภายในแบบพาสซีฟ ด้วย LLM ที่เกิดขึ้นใหม่และความต้องการใหม่ ๆ ที่เกี่ยวข้องกับการป้องกันเครือข่ายในเชิงลึก เครื่องมือ NDR ก็ได้พัฒนาไปไกลเกินกว่าความสามารถหลักนี้แล้ว Gartner รายงาน NDR รายละเอียดว่าเครื่องมือต่างๆ ในตลาดปัจจุบันกำลังขยายขอบเขตอย่างไรด้วยการเสริม LLM การตรวจจับภัยคุกคามแบบหลายโหมด และการปรับใช้บนพื้นฐาน IaaS

ผลกระทบจาก NDR ในยุคใหม่มีนัยสำคัญหลายประการ ได้แก่ การตอบสนองต่อเหตุการณ์ที่สอดประสานกันมากขึ้น การวิเคราะห์ที่รัดกุมยิ่งขึ้น และการตรวจสอบทางนิติวิทยาศาสตร์ที่รวดเร็วยิ่งขึ้น คู่มือนี้เป็นการเจาะลึก NDR อย่างครอบคลุม

#image_title

โซลูชัน NDR ของ Gartner® Magic Quadrant™

ดูว่าทำไมเราจึงเป็นผู้จำหน่ายรายเดียวที่อยู่ในกลุ่ม Challenger

เรียนรู้เพิ่มเติม
#image_title

สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!

ค้นพบ AI ล้ำสมัยของ Stellar Cyber ​​เพื่อการตรวจจับภัยคุกคามทันที

กำหนดเวลาการสาธิต

NDR ทำงานอย่างไร

NDR มีความโดดเด่นตรงที่สามารถวิเคราะห์แพ็กเก็ตเครือข่ายและข้อมูลเมตาของปริมาณการรับส่งข้อมูลที่เกิดขึ้นภายในกระแสข้อมูลตะวันออก-ตะวันตก (ภายใน) และระหว่างเหนือ-ใต้ (เครือข่ายภายในและอินเทอร์เน็ตสาธารณะ) ได้อย่างต่อเนื่อง การดำเนินการเครือข่ายแต่ละรายการจะแสดงถึงจุดข้อมูลสำคัญที่ NDR รวบรวมไว้ จากนั้นแต่ละการดำเนินการจะถูกใช้เพื่อสร้างแบบจำลองพฤติกรรมในแต่ละวันของเครือข่ายภายใน

วิธีนี้ช่วยให้สามารถตรวจจับการเบี่ยงเบนใดๆ ได้ทันที รูปแบบที่ผิดปกติเหล่านี้จะถูกส่งไปยังนักวิเคราะห์เพื่อตรวจสอบเพิ่มเติมในรูปแบบของการแจ้งเตือน ซึ่งในขั้นตอนนี้ การรับส่งข้อมูลจะถูกตัดสินว่าเป็นสัญญาณของการโจมตีหรือไม่เป็นอันตราย NDR สมัยใหม่ที่มีความสามารถในการตอบสนองอัตโนมัติสามารถดำเนินการแก้ไขโดยอัตโนมัติ เช่น การบล็อก IP เพื่อตอบสนองต่อภัยคุกคามที่รับรู้ได้ วิธีนี้ช่วยให้เครือข่ายปลอดภัยในขณะที่นักวิเคราะห์สามารถกำหนดความชอบธรรมของเครือข่ายได้

วิวัฒนาการของ NDR

NDR สามารถสืบย้อนรากเหง้าในช่วงแรกได้ การวิเคราะห์ปริมาณการใช้เครือข่าย (NTA)เครื่องมือรุ่นเก่านี้ถูกใช้ร่วมกันโดยผู้ดูแลระบบความปลอดภัยและเครือข่าย ช่วยให้ผู้ดูแลระบบสามารถติดตามดูว่าสินทรัพย์ใดกำลังรับข้อมูลการรับส่งข้อมูลบนเครือข่าย แอปหรืออุปกรณ์แต่ละเครื่องตอบสนองเร็วแค่ไหน และมีปริมาณการรับส่งข้อมูลที่ส่งไปและมาจากแหล่งที่มาต่างๆ มากเพียงใด

อย่างไรก็ตาม เมื่อภูมิทัศน์ของภัยคุกคามเปลี่ยนแปลงไปตลอดช่วงต้นปี 2010 ผู้ดูแลระบบความปลอดภัยพบว่าข้อมูลปริมาณเครือข่ายไม่สามารถบอกเล่าเรื่องราวทั้งหมดได้ การพึ่งพา NTA เพียงอย่างเดียวในการตรวจจับภัยคุกคามนั้นต้องการผู้ดูแลระบบเครือข่ายที่มีประสบการณ์สูงและสายตาเฉียบแหลม ซึ่งปล่อยให้ทุกอย่างขึ้นอยู่กับโอกาส การตรวจจับและตอบสนองเครือข่ายเน้นที่การรวบรวมข้อมูลเครือข่ายแบบสากลควบคู่ไปกับการวิเคราะห์อีกชั้นหนึ่ง

เครื่องมือ NDR ของวันนี้ เสริมความแข็งแกร่งให้กับการวิเคราะห์พฤติกรรมหลักนี้ด้วยการเปรียบเทียบลายเซ็นไฟล์และการนำกฎมาใช้ เมื่อตรวจพบภัยคุกคามที่อาจเกิดขึ้น NDR จะสามารถกักกันไฟล์ที่น่าสงสัยโดยอัตโนมัติ แจ้งข้อมูลสำคัญให้ผู้ดูแลระบบความปลอดภัยทราบ และเชื่อมโยงการแจ้งเตือนภายในเหตุการณ์ด้านความปลอดภัยที่กว้างขึ้น

บทบาทของ NDR ในระบบรักษาความปลอดภัยทางไซเบอร์คืออะไร

โดยทั่วไปแล้ว ระบบความปลอดภัยทางไซเบอร์ขององค์กรจะพึ่งเครื่องมือตรวจจับภัยคุกคามแบบคงที่ เช่น โปรแกรมป้องกันไวรัสและไฟร์วอลล์ ซึ่งจะใช้การตรวจจับตามลายเซ็น โดยประเมินไฟล์ที่ถูกนำเข้ามาหรือแชร์ผ่านเครือข่ายโดยเปรียบเทียบกับตัวบ่งชี้การบุกรุกภายในฐานข้อมูลของเครื่องมือแต่ละตัว

อย่างไรก็ตาม การตั้งค่านี้ – ซึ่งปัจจุบันเรียกว่าการรักษาความปลอดภัยไซเบอร์ตามขอบเขต – มีข้อบกพร่องบางประการ ตัวอย่างเช่น หากไม่อัปเดตไฟร์วอลล์อย่างต่อเนื่อง ผู้โจมตีอาจเล็ดลอดผ่านช่องโหว่ได้ เมื่ออุปกรณ์หรือบริการใดบริการหนึ่งถูกบุกรุก ความไว้วางใจโดยธรรมชาติระหว่างอุปกรณ์บนเครือข่ายภายในจะถูกใช้ประโยชน์ เมื่อผู้โจมตีเริ่มเพิ่มระดับสิทธิ์

NDR ใช้ประโยชน์จากห่วงโซ่การโจมตีนี้และตระหนักว่าการโจมตีเกือบทุกครั้งจะเกี่ยวข้องกับเครือข่ายภายในอย่างน้อยหนึ่งเครือข่าย ทีมงานด้านความปลอดภัยทางไซเบอร์สามารถ ปรับใช้โซลูชัน NDR ข้ามการรับส่งข้อมูลทั้งจากทิศเหนือ-ใต้และทิศตะวันออก-ตะวันตก ทำให้พวกเขามองเห็นการรับส่งข้อมูลที่เข้ามาในองค์กรได้ และแชร์ระหว่างอุปกรณ์ภายในตามลำดับ การกระทำดังกล่าวทำให้จุดยืนที่สำคัญที่สุดอย่างหนึ่งที่ผู้โจมตีพึ่งพาปิดตัวลง คู่มือผู้ซื้อ NDR รายละเอียดวิธีจัดการและวิเคราะห์ข้อมูลการรับส่งข้อมูลนี้เพื่อดูว่ามีกิจกรรมที่เป็นอันตรายหรือไม่

บทบาทของ NDR ในศูนย์ปฏิบัติการด้านความปลอดภัยคืออะไร (SOC)?

ทันสมัย SOC จำเป็นต้องเข้าถึงทุกที่พร้อมกัน: ด้วยความซับซ้อนของเครือข่ายสมัยใหม่ นั่นไม่ใช่เรื่องง่ายเลย ดังนั้น NDR จึงมีบทบาทสำคัญในการทำให้ระบบมีประสิทธิภาพในปัจจุบัน SOCเนื่องจากเป็นแพลตฟอร์มการตรวจจับแบบรวมศูนย์ จึงสามารถส่งมอบความสามารถต่อไปนี้ให้กับแพลตฟอร์มดังกล่าวได้ SOC โดยใช้ NDR ที่เหมาะสม

การมองเห็นเครือข่ายที่สมบูรณ์

ส่วนประกอบหลักของ SOC จุดเด่นของระบบนี้คือความสามารถในการตรวจจับและตอบสนองต่อภัยคุกคามในทุกระดับของอุปกรณ์ ผู้ใช้ และบริการ ข้อมูลเครือข่ายเป็นแหล่งข่าวกรองที่มีค่า แต่ผู้เชี่ยวชาญด้านการคัดกรองและนักล่าภัยคุกคามมักทำงานได้ช้าลงเนื่องจากปริมาณข้อมูลมหาศาล สถาปัตยกรรม NDR ช่วยให้สามารถรวบรวมข้อมูลแพ็กเก็ต ข้อมูลการไหล และข้อมูลบันทึกจากโครงสร้างพื้นฐานเครือข่ายและไฟร์วอลล์ได้โดยอัตโนมัติ นอกจากนี้ยังวิเคราะห์ทราฟฟิกที่เข้ารหัสโดยไม่จำเป็นต้องดักจับข้อมูล ทำให้การวิเคราะห์เชิงลึกสามารถรวมแหล่งข้อมูลได้หลากหลายมากขึ้น ส่งผลให้การวิเคราะห์มีประสิทธิภาพยิ่งขึ้น SOC เพื่อให้ได้มุมมองที่ครอบคลุมมากขึ้นเกี่ยวกับเครือข่ายของพวกเขา

การแจ้งเตือนที่เชื่อมต่อ

ผู้เชี่ยวชาญด้านการคัดกรองมีบทบาทสำคัญในการจัดการการแจ้งเตือนด้านความปลอดภัยโดยรวบรวมข้อมูลดิบและวิเคราะห์การแจ้งเตือนที่เข้ามา ความรับผิดชอบของพวกเขาได้แก่ การตรวจสอบการแจ้งเตือน การประเมินหรือปรับความรุนแรงของการแจ้งเตือน และการเสริมข้อมูลบริบทให้กับการแจ้งเตือน NDR สมัยใหม่เร่งกระบวนการนี้ด้วยการบูรณาการกับเครื่องมือด้านความปลอดภัยอื่นๆ และทำเครื่องหมายความผิดปกติของเครือข่ายโดยอัตโนมัติภายในบริบทที่กว้างขึ้น ไม่ว่าจะเป็นอีเมลฟิชชิ่งหรือการดาวน์โหลดไฟล์ที่น่าสงสัย

การรับรู้เครือข่ายอย่างรวดเร็ว

SOC ผู้จัดการตระหนักดีว่าความเชี่ยวชาญด้านเครือข่ายอย่างลึกซึ้งเป็นสิ่งจำเป็น ความต้องการนี้อาจทำให้การสรรหาและฝึกอบรมบุคลากรใหม่ ๆ เป็นเรื่องท้าทาย SOC การทำงานร่วมกับสมาชิกในทีมนั้นยากและใช้เวลานาน แต่ด้วย NDR นั้น... SOCแม้แต่สมาชิกทีมใหม่ที่ยังไม่มีความเชี่ยวชาญด้านเครือข่ายก็สามารถทำได้ ปรับใช้โซลูชัน NDR และเริ่มสามารถระบุภัยคุกคามได้

การตอบสนองเครือข่ายอย่างรวดเร็ว

พลังวิเคราะห์ของ NDR นำเสนอให้กับนักวิเคราะห์ในแดชบอร์ดที่ใช้งานง่าย อินเทอร์เฟซผู้ใช้ช่วยให้สามารถจัดลำดับความสำคัญของการแจ้งเตือนโดยอัตโนมัติ และช่วยให้สามารถเริ่มตอบสนองเครือข่ายด้วยตนเองได้เร็วขึ้นมาก

NDR เทียบกับการตรวจจับและตอบสนองจุดสิ้นสุด (EDR)

ความปลอดภัยทางไซเบอร์ในยุคใหม่ต้องการการมองเห็นมากกว่าแค่กิจกรรมเครือข่าย EDR เป็นโซลูชันที่เกี่ยวข้องซึ่งเน้นที่พฤติกรรมของอุปกรณ์ปลายทาง การตรวจจับเครือข่ายเทียบกับอุปกรณ์ปลายทางค่อนข้างง่าย: ในลักษณะเดียวกับที่ NDR รวบรวมข้อมูลการดำเนินการแต่ละอย่างบนเครือข่ายและวางลงบนกราฟแนวโน้มที่กว้างขึ้น EDR จะนำการดำเนินการแต่ละอย่างในระดับอุปกรณ์มาวิเคราะห์โดยสัมพันธ์กับพฤติกรรมในอดีตหรือเฉพาะบทบาท

โดยทั่วไป ผลิตภัณฑ์ EDR จะถูกส่งผ่านตัวแทนปลายทางที่ปรับใช้ได้ในแต่ละปลายทาง การมีสถานะในพื้นที่ทำให้ EDR สามารถดึงข้อมูลกระบวนการ ซึ่งช่วยระบุโปรแกรมที่อาจเป็นอันตรายได้ โดยการตรวจสอบกระบวนการที่กำลังทำงานอยู่บนระบบ นอกจากนี้ ข้อมูลไฟล์ยังได้รับการตรวจสอบเพื่อตรวจสอบความสมบูรณ์ของไฟล์ ในขณะที่ข้อมูลผู้ใช้จะตรวจสอบความถูกต้องของบัญชีแต่ละบัญชี ในที่สุด ข้อมูลระบบจะถูกรวบรวมเพื่อรักษาภาพรวมที่ครอบคลุมเกี่ยวกับความสมบูรณ์ของปลายทาง

แทนที่จะเปรียบเทียบ NDR กับ EDR องค์กรส่วนใหญ่มักใช้งาน NDR ควบคู่ไปกับ EDR ซึ่งช่วยให้สามารถติดตามและตรวจสอบห่วงโซ่การโจมตีได้อย่างครบถ้วน ตั้งแต่การบุกรุกบัญชีในขั้นต้น ไปจนถึงการยกระดับสิทธิ์ในระดับเครือข่าย และการติดตั้งมัลแวร์ในที่สุด การโจมตีที่ซับซ้อนทั้งหมดสามารถตรวจจับได้ล่วงหน้า เมื่อเห็นศักยภาพนี้ ผู้จำหน่ายโซลูชันด้านความปลอดภัยทางไซเบอร์บางรายจึงเริ่มนำเสนอการวิเคราะห์และการประสานงานอีกชั้นหนึ่งระหว่างทั้งสองระบบ นั่นคือ การตรวจจับและการตอบสนองแบบขยาย (Extended Detection and Response: EDR)XDR).

NDR แตกต่างจาก EDR อย่างไร และ XDR?

NDR, EDR และ XDR เทคโนโลยีเหล่านี้มีความแตกต่างกันเล็กน้อย โดยแต่ละเทคโนโลยีมุ่งเป้าไปที่แง่มุมต่างๆ ของกระบวนการระบุและตอบสนองต่อภัยคุกคาม นอกจากนี้ยังมีขอบเขตที่แตกต่างกัน ตั้งแต่เฉพาะเครือข่ายไปจนถึงพื้นผิวการโจมตีทั้งหมดขององค์กร

NDR (การตรวจจับเครือข่ายและการตอบสนอง)

EDR (การตรวจจับและตอบสนองจุดสิ้นสุด)

XDR (การตรวจจับและการตอบสนองเพิ่มเติม)
ขอบเขต การจราจรบนเครือข่าย จุดสิ้นสุด (แล็ปท็อป, เซิร์ฟเวอร์, อุปกรณ์) ทั้งหมด (จุดสิ้นสุด, เครือข่าย, คลาวด์)
แหล่งที่มาของข้อมูลหลัก ข้อมูลเมตาของเครือข่าย การไหลของข้อมูล การวัดระยะไกลจุดสิ้นสุด ไฟล์ และพฤติกรรมของกระบวนการ ข้อมูลระยะไกลแบบรวมระหว่างหลายโดเมน
ความสามารถในการตอบสนอง จำกัดเฉพาะการดำเนินการในระดับเครือข่าย โดยมีการเสนอการตอบสนองอัตโนมัติเพิ่มมากขึ้น แยกเป็นการตอบสนองที่เฉพาะเจาะจงต่อจุดสิ้นสุด เช่น การกักกัน มอบอิสระอย่างสมบูรณ์ในการตอบสนองอัตโนมัติข้ามแพลตฟอร์ม
ความซับซ้อนในการปรับใช้ ขนาดกลาง (ต้องมีการรวมเครือข่าย) ขนาดกลาง (ต้องติดตั้งตัวแทนบนจุดสิ้นสุด) สูง (ต้องบูรณาการข้ามแพลตฟอร์มความปลอดภัยทั้งหมดหรือแหล่งข้อมูลหลัก)
กรณีใช้งานที่ดีที่สุด ตรวจจับการเคลื่อนไหวด้านข้าง ภัยคุกคามแอบแฝง ระบุจุดสิ้นสุดที่ถูกบุกรุก การตรวจจับและตอบสนองภัยคุกคามอย่างครอบคลุม

เทคนิคที่ใช้ในโซลูชัน NDR

เนื่องจาก NDR ดำเนินการจัดการและวิเคราะห์ข้อมูลปริมาณมหาศาลอย่างต่อเนื่อง จึงมีความสำคัญที่จะต้องเข้าใจกลยุทธ์ต่างๆ ที่พวกเขานำมาใช้เพื่อรับมือกับภัยคุกคามที่ซับซ้อน

การวิเคราะห์การรับส่งข้อมูลที่เข้ารหัส

การรักษาความปลอดภัยของข้อมูลที่ได้รับการเข้ารหัสถือเป็นหัวข้อที่ละเอียดอ่อนมาโดยตลอด และด้วยข้อมูลส่วนใหญ่ในปัจจุบันที่ได้รับการเข้ารหัสแล้ว การไม่สามารถวิเคราะห์ข้อมูลที่ได้รับการเข้ารหัสอย่างเหมาะสมจึงถือเป็นความผิดพลาดที่สำคัญ อย่างไรก็ตาม การถอดรหัสแพ็กเก็ตเครือข่ายทั้งหมดระหว่างการถ่ายโอนอาจเพิ่มความเสี่ยงของการเปิดเผยข้อมูลและโทเค็นได้อย่างมาก

เพื่อหลีกเลี่ยงปัญหานี้ เครื่องมือชั้นนำของตลาดมักพึ่งพาเทคนิค NDR เพื่อป้องกันการรั่วไหลของข้อมูลโทเค็นหรือข้อมูลที่ถอดรหัสแล้ว สามารถติดตั้งเซ็นเซอร์ไว้เบื้องหลังเซิร์ฟเวอร์พร็อกซี ซึ่งใช้การตรวจจับปริมาณการรับส่งข้อมูลที่เข้ารหัสและส่งผ่านพร็อกซี โดยปริมาณการรับส่งข้อมูลจะถูกถอดรหัสตามปกติ จากนั้นเซ็นเซอร์จะส่งต่อข้อมูลทั้งหมดไปยังเอ็นจิ้น NDR ส่วนกลาง เรียนรู้เพิ่มเติมเกี่ยวกับความสามารถ NDR ของเราที่นี่

หากพร็อกซีเซิร์ฟเวอร์ไม่เหมาะสำหรับกรณีการใช้งานเฉพาะ ก็สามารถตรวจจับความถูกต้องของทราฟฟิกได้อย่างแม่นยำผ่านรูปแบบต่างๆ ทราฟฟิกที่เข้ารหัสทั้งหมดสามารถประเมินมัลแวร์ได้โดยใช้ลายนิ้วมือ JA3 โดยไม่ทำลายการเข้ารหัส นอกจากนี้ รูปแบบและข้อมูลเมตาสามารถรวมกันเพื่อตรวจจับเจตนาเบื้องหลังแพ็กเก็ตที่เข้ารหัสได้ เนื่องจากเซ็นเซอร์ยังสามารถดึงใบรับรองเซิร์ฟเวอร์ ที่อยู่ IP ชื่อโดเมน ระยะเวลาเซสชัน และจำนวนไบต์จากส่วนหัวของแพ็กเก็ตและการจับมือ TLS/SSL ได้

ในที่สุด หากการถอดรหัสการรับส่งข้อมูลเป็นสิ่งจำเป็นอย่างยิ่ง NDR สมัยใหม่สามารถบูรณาการกับบริการถอดรหัสแพ็กเก็ตได้ จากนั้นข้อมูลเครือข่ายที่ได้จะถูกส่งไปยังกลไกวิเคราะห์ส่วนกลางตามปกติ

การค้นพบสินทรัพย์อัตโนมัติ

การทราบว่าอุปกรณ์ใดกำลังถ่ายโอนข้อมูลเข้าและออกจากเครือข่ายถือเป็นสิ่งสำคัญ NDR จะติดตามและเพิ่มทรัพย์สินลงในแดชบอร์ดการจัดการทรัพย์สินโดยอัตโนมัติตามที่อยู่ MAC ที่อยู่ IP และชื่อโฮสต์ที่เกี่ยวข้องของอุปกรณ์แต่ละตัว วิธีนี้ช่วยให้สามารถแสดงความเสี่ยงในระดับเครือข่ายตามทรัพย์สินที่ได้รับผลกระทบได้

การถอดรหัสโปรโตคอล

โปรโตคอลเครือข่ายเป็นชุดกฎเกณฑ์ที่กำหนดว่าข้อมูลจะถูกจัดรูปแบบ ส่ง รับ และตีความอย่างไรระหว่างอุปกรณ์ต่างๆ บนเครือข่าย สิ่งเหล่านี้เป็นส่วนสำคัญของปริศนาเชิงบริบท ดังนั้น NDR จึงสร้างข้อมูลดิบขึ้นมาใหม่เพื่อกำหนดโปรโตคอลที่เหมาะสม จากนั้นจึงเปรียบเทียบข้อมูลเครือข่ายในโลกแห่งความเป็นจริงกับโปรโตคอลที่คาดหวังไว้ ซึ่งช่วยให้ตรวจจับการเบี่ยงเบนของปริมาณการรับส่งข้อมูลได้อย่างรวดเร็ว

การวิเคราะห์พฤติกรรม

นอกเหนือจากโปรโตคอลเบื้องหลังการรับส่งข้อมูลแต่ละประเภทแล้ว NDR ยังสามารถสร้างแบบจำลองการทำงานของเครือข่ายแต่ละเครือข่ายในแต่ละวันได้อีกด้วย ตัวอย่างเช่น ในช่วงเวลาหลายเดือน ระบบอาจเห็นพนักงานอัปโหลดไปยังไซต์เฉพาะผ่าน SFTP ในเวลา 10 น. เมื่อจู่ๆ พนักงานคนนั้นอัปโหลดไฟล์ไปยังอุปกรณ์ภายในอีก 5 เครื่องในเวลา 2 น. ระบบจะทราบถึงการดำเนินการที่น่าสงสัยนี้เพื่อวิเคราะห์เพิ่มเติม

วิธีการปรับใช้การตรวจจับและการตอบสนองเครือข่าย

การปรับใช้ NDR จะต้องครอบคลุมเครือข่ายทั้งหมดที่องค์กรของคุณใช้ ไม่ว่าจะเป็นเครือข่ายบนคลาวด์ เครือข่ายภายในองค์กรทั้งหมด หรือเครือข่ายทั้งสองแบบผสมกัน วิธีการปรับใช้ต่อไปนี้ควรช่วยให้คุณมองเห็นภาพรวมว่า NDR ถูกปรับใช้ทางเทคนิคอย่างไรภายในองค์กร

การใช้งานเซนเซอร์

NDR ต้องการให้มีการติดตั้งเซ็นเซอร์ภายในเครือข่ายใดๆ ที่กำลังตรวจสอบอยู่ อย่างไรก็ตาม มีเซ็นเซอร์เฉพาะสำหรับกรณีการใช้งานที่แตกต่างกัน และการติดตั้งที่ประสบความสำเร็จต้องใช้เซ็นเซอร์ที่ถูกต้องสำหรับงานนั้นๆ ตัวอย่างเช่น สภาพแวดล้อมการแจกจ่าย Linux จำเป็นต้องมีเซ็นเซอร์เซิร์ฟเวอร์ Linux ซึ่งมักจะติดตั้งพร้อมกับทรัพยากร CPU ที่มีอยู่จำนวนที่กำหนดไว้ล่วงหน้าซึ่งสามารถใช้ได้ในแต่ละครั้ง เพื่อปกป้องคุณภาพของเซิร์ฟเวอร์ในขณะที่รวบรวมการดำเนินการคำสั่งและบันทึก เซิร์ฟเวอร์ Windows ยังต้องการเซ็นเซอร์ประเภทของตัวเองด้วย ซึ่งจะรวบรวม Windows ได้ทั้งหมด ประเภทของเหตุการณ์

เซ็นเซอร์แบบโมดูลาร์เป็นอีกประเภทหนึ่ง: เซ็นเซอร์ประเภทนี้ช่วยให้สามารถเพิ่มคุณสมบัติที่ปรับแต่งได้ลงในตัวเซ็นเซอร์ ตัวอย่างเช่น อาจรวมถึงการส่งต่อบันทึก (Log Forwarding) ในกรณีที่จำเป็นต้องใช้งานร่วมกับอุปกรณ์อื่น SIEM หรือเครื่องมือรักษาความปลอดภัยอื่นๆ และการรับส่งข้อมูลเครือข่ายตามที่ NDR กำหนด สำหรับความต้องการด้านความปลอดภัยที่เข้มงวดมากขึ้น สามารถติดตั้งเซ็นเซอร์แบบโมดูลาร์ร่วมกับระบบแซนด์บ็อกซ์และระบบตรวจจับการบุกรุกได้เช่นกัน

เมื่อระบุเซ็นเซอร์ที่ถูกต้องสำหรับการใช้งานแต่ละครั้งแล้ว สิ่งสำคัญคือต้องตั้งค่าให้เหมาะสม มีวิธีการใช้งานมากมายให้เลือกใช้ พอร์ต SPAN เป็นหนึ่งในพอร์ตที่ใช้กันทั่วไปที่สุด และทำงานโดยมิเรอร์ทราฟฟิกเครือข่ายบนสวิตช์เครือข่ายไปยังพอร์ตที่มีเซ็นเซอร์ NDR วิธีนี้ช่วยให้เครื่องมือ NDR สามารถจับแพ็กเก็ตทราฟฟิกทั้งหมดที่ไปยังพอร์ตนั้นได้แบบพาสซีฟ

สภาพแวดล้อมเสมือนจริงนั้นอาศัยการติดตั้งแท็ปเสมือน ซึ่งจะดักจับสำเนาของข้อมูลที่ไหลระหว่าง VM ภายในโฮสต์ แท็ปทางกายภาพจะพลาดการรับส่งข้อมูลนี้ เนื่องจากไม่เคยผ่านสายเคเบิลเครือข่ายทางกายภาพ กิจกรรมเครือข่ายของจุดปลายทางระยะไกลสามารถตรวจสอบได้ด้วยตัวรวบรวมข้อมูลตามตัวแทน ซึ่งเป็นตัวรวบรวมข้อมูลน้ำหนักเบาที่ติดตั้งโดยตรงบนอุปกรณ์

การกลืนกินข้อมูล

เมื่อข้อมูลทั้งหมดถูกตรวจสอบโดยเซ็นเซอร์อย่างต่อเนื่อง ข้อมูลนั้นจะต้องถูกรวบรวมและวิเคราะห์โดยกลไกวิเคราะห์ส่วนกลางของ NDR ซึ่งดำเนินการโดยใช้สองกระบวนการ ได้แก่ ตัวรับและตัวเชื่อมต่อ โดยตัวแรกเป็นงานที่ดำเนินการอยู่ซึ่งรับอินพุตจากเซ็นเซอร์และกระจายไปยังที่อยู่ IP หรือหมายเลขพอร์ตที่ติดต่อ ส่วนตัวที่สองจะตรวจสอบข้อมูลแพ็กเก็ตเครือข่ายดิบที่เกี่ยวข้อง

ดาวน์โหลดและตั้งค่า

การดาวน์โหลดและกำหนดค่าคอนโซลการจัดการ NDR ขึ้นอยู่กับผู้ให้บริการที่เลือก แต่ทั้งหมดควรต้องมีการกำหนดบทบาทผู้ดูแลระบบ เกณฑ์การแจ้งเตือน และโปรโตคอลการแจ้งเตือนเบื้องต้น โดยปกติแล้ว การฝึกอบรมหนึ่งหรือสองสัปดาห์ถือเป็นข้อกำหนดขั้นต่ำเมื่อมีการนำเครื่องมือใหม่มาใช้ครั้งแรก ซึ่งจะช่วยให้เข้าใจได้ดีว่าเครื่องมือจะบูรณาการกับเวิร์กโฟลว์ของนักวิเคราะห์ได้อย่างไร

เปิดใช้งานและปรับแต่งการตอบกลับอัตโนมัติ

การตอบกลับอัตโนมัติเป็นความสามารถหลักของเครื่องมือ NDR สมัยใหม่ นอกจากนี้ยังช่วยประหยัดเวลาในการโจมตีที่อาจเกิดขึ้นได้อย่างมาก ขึ้นอยู่กับ NDR การดำเนินการตอบกลับอัตโนมัติ เช่น การยุติเซสชัน TCP การแบ่งส่วนเครือข่ายแบบไดนามิก หรือการควบคุมปริมาณการรับส่งข้อมูล จำเป็นต้องได้รับการกำหนดค่าควบคู่ไปกับโปรไฟล์พฤติกรรมที่ต้องเรียกใช้การดำเนินการแต่ละอย่าง เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการใช้งาน NDR ได้ที่นี่

การบูรณาการ NDR กับเครื่องมือความปลอดภัยอื่น ๆ

ความสามารถของ NDR ในการสร้างแบบจำลองฮิวริสติกของพฤติกรรมเครือข่ายปกติ – และด้วยเหตุนี้จึงสามารถตรวจจับการเบี่ยงเบนใดๆ จากแบบจำลองนั้นได้ – ถือเป็นการเสริมเทคโนโลยีความปลอดภัยอื่นๆ ที่ทาง Intel นำมาใช้ หากสามารถผสานรวมสิ่งเหล่านี้ได้ ก็จะสามารถเพิ่มการรับรู้ในระดับเครือข่ายลงในการแจ้งเตือนแต่ละครั้งได้ เครื่องมือความปลอดภัยต่อไปนี้เป็นเครื่องมือที่มองเห็นการรวม NDR ทั่วไปและประสบความสำเร็จ

EDR

การบูรณาการ EDR กับ NDR ไม่เพียงแต่จะช่วยให้เข้าใจห่วงโซ่การโจมตีได้อย่างสมบูรณ์เท่านั้น แต่ยังตอบสนองต่อภัยคุกคามโดยอัตโนมัติผ่านอุปกรณ์ EDR ได้อีกด้วย ตัวอย่างเช่น เมื่อมัลแวร์เชื่อมโยงกลับไปยังอุปกรณ์ โซลูชัน EDR/NDR ร่วมกันสามารถแยกมัลแวร์ออกจากเครือข่ายได้โดยอัตโนมัติ การป้องกันนี้จะช่วยป้องกันไม่ให้ภัยคุกคามแพร่กระจาย ขณะเดียวกันก็ให้ทีมงานด้านความปลอดภัยมีโอกาสตรวจสอบเหตุการณ์และใช้มาตรการแก้ไขที่จำเป็น

SIEM

SIEMเครื่องมือเหล่านี้พบได้ทั่วไปในทีมรักษาความปลอดภัย – ช่วยในการวิเคราะห์และตรวจจับบันทึกข้อมูล และเป็นรากฐานของการจัดการภัยคุกคามสมัยใหม่ อย่างไรก็ตาม เนื่องจาก SIEMระบบต่างๆ จัดการบันทึกข้อมูลจำนวนมาก และบันทึกข้อมูลเพียงอย่างเดียวไม่ได้ให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามอย่างครบถ้วน SIEMระบบเหล่านี้มีโอกาสสูงที่จะเกิดการแจ้งเตือนผิดพลาด ส่งผลให้มีการแจ้งเตือนหลายพันรายการต่อวัน ซึ่งในทางปฏิบัติแล้วเป็นไปไม่ได้ที่จะตรวจสอบด้วยตนเองทั้งหมด

NDR ช่วยให้สามารถสร้างชั้นการตรวจสอบสิทธิ์ได้ – เมื่อใดก็ตามที่ SIEM หากตรวจพบเหตุการณ์ที่อาจเกิดขึ้น ข้อมูลเครือข่ายที่เกี่ยวข้องสามารถนำมาวิเคราะห์ได้ หากแหล่งข้อมูลทั้งสองชี้ไปที่การโจมตี ระบบสามารถแจ้งเตือนผ่านแดชบอร์ดส่วนกลางของ NDR ได้ ซึ่งไม่เพียงแต่ช่วยกรองการแจ้งเตือนที่ไม่ถูกต้องเท่านั้น แต่ยังช่วยให้นักวิเคราะห์ที่ตรวจสอบมีพื้นฐานการทำงานที่ดีขึ้นอีกด้วย

ไฟร์วอลล์

NDR ช่วยเพิ่มประสิทธิภาพให้กับข้อมูลภัยคุกคามไฟร์วอลล์โดยตรวจจับพฤติกรรมเครือข่ายที่ผิดปกติหรือเป็นอันตราย เนื่องจาก NDR สามารถติดตามพฤติกรรมดังกล่าวไปยังที่อยู่ IP เฉพาะได้ ข้อมูลแบบเรียลไทม์นี้จึงสามารถส่งไปยังไฟร์วอลล์ที่ติดตั้งไว้ในแต่ละเครือข่ายหรือเครือข่ายย่อยได้ จากนั้น NDR จะสร้างและบังคับใช้นโยบายที่เกี่ยวข้องโดยอัตโนมัติเพื่อบล็อกการรับส่งข้อมูลที่น่าสงสัย

ฟังดูดีเกินไปที่จะ
จริงมั้ย?
ดูด้วยตัวคุณเอง!

ขอการสาธิต
เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว