Зміст

Що таке NDR?
Що таке SIEM?
НДР проти SIEMДва різних варіанти використання
Поєднання точності NDR та SIEM Видимість за допомогою Stellar Cyber Open XDR платформа

НДР проти SIEM: Ключові відмінності

Оскільки інструменти кібербезпеки розширюються за обсягом та обчислювальною потужністю, легко не помітити, як новіші інструменти, такі як Network Detection and Response (NDR), перетинаються з перевіреними рішеннями, такими як Security Information and Event Management (керування інформацією та подіями безпеки)SIEM). У цій статті буде розкрито відмінності між NDR та SIEM, одночасно уточнюючи найкращі варіанти використання та розгортання для обох.

Що таке NDR?

Виявлення мережі та відповідь зосереджена, головним чином, на виявленні детальної щоденної діяльності в мережах організації. Замість того, щоб розміщувати шлюз на межі мереж організації, що забезпечує видимість виключно трафіку Північ-Південь, NDR розміщує датчики у внутрішніх мережах, реєструючи всі внутрішні або східно-західні з'єднання. Таким чином, NDR починається там, де закінчується брандмауер.

Датчики NDR копіюють кожен пакет – разом з його метаданими – і надсилають копії до центрального аналітичного механізму рішення. Це часто досягається за допомогою мережевих TAP або span-портів, які є високопродуктивними апаратними датчиками; інші середовища розгортання можуть вимагати програмних та віртуальних датчиків.

У сукупності всі ці дані об’єднуються в стек безперервного моніторингу та реагування NDR:

Встановлення базової поведінки мережі

Після першого розгортання безпосередня роль NDR полягає у встановленні нормальної, повсякденної поведінки підключених мереж. Це досягається шляхом передачі зібраних журналів алгоритму навчання без нагляду, який об'єднує цей потік даних у модель середніх шаблонів зв'язку, обсягу та часу. Профілюючи все це, NDR може застосувати свій перший рівень виявлення загроз на рівні мережі.

Виявлення відхилень від базової лінії

Коли мережева поведінка пристрою починає відхилятися від звичайної моделі, служба доставки може це помітити та позначити як потенційно підозрілу. Така поведінка може включати раптовий наплив спроб входу, спроби підключення до обмежених портів або неочікуване витікання даних від співробітника, який зазвичай не має доступу до цієї бази даних.

Залежно від нестабільної поведінки, NDR може або виконати автоматичну відповідь, або порівняти мережеву активність з відомими індикаторами компрометації (IoC).

Аналіз на основі підписів

Більшість кібератак дотримуються певного підходу: цей профіль атаки призводить до встановлених шаблонів активності або IoC. Щоб перевірити ризик, що стоїть за мережевими абераціями, NDR може порівняти активність мережі в режимі реального часу з базою даних IoC, що дозволяє швидко та автоматично виявляти, яка саме атака відбувається, і допомагати точно визначити потенційного зловмисника.

Автоматична відповідь

Зрештою, якщо NDR виявляє потенційне вторгнення в мережу, воно може реагувати на рівні мережі. Така реакція може включати карантин скомпрометованих пристроїв, блокування шкідливого трафіку або ізоляцію уражених сегментів мережі. Це запобігає горизонтальному просуванню зловмисника та може зупинити атаку до її повного розгортання.

Що таке SIEM?

Хоча звіти про недоставку (NDR) збирають та аналізують пакети з мереж організації, SIEM поширює ще ширшу мережу: вона прагне отримати повну видимість для всієї організації. Журнали – це невеликі файли, які пристрій генерує щоразу, коли виконує певну дію: вони збираються для SIEM аналіз за допомогою програмного агента, який встановлюється на кожен вихідний пристрій.

Звідти SIEM знову збирає файли журналів у цілісний вигляд дій кожного пристрою:

Збір, фільтрація та парсинг журналів

Агент постійно відстежує нові журнали, збираючи їх у режимі реального часу або через заплановані проміжки часу, залежно від конфігурації системи. Перш ніж вони будуть надіслані до SIEM На платформі агент фільтрує шум (нерелевантні дані), аналізує ключові поля (такі як позначки часу, IP-адреси або типи подій) та витягує найбільш значущі компоненти.

Нормалізація журналу

Кожен пристрій або програма генерує журнали у власному синтаксисі — він може варіюватися від тексту, зрозумілого людиною, до щільних структур JSON або XML. Щоб зробити все це зрозумілим для SIEMЗа допомогою механізму аналізу система визначає джерело для кожного журналу та застосовує парсер, адаптований до цього конкретного формату. Парсери розбивають записи журналу на окремі поля даних, такі як позначка часу, IP-адреса джерела, порт призначення, тип події або ідентифікатор користувача. Цю стандартизовану схему потім можна порівнювати та аналізувати в різних системах.

Аналіз та оповіщення

Команда SIEM починається зі сканування на наявність попередньо визначених шаблонів та індикаторів компрометації (IOC), таких як численні невдалі спроби входу, незвичайні передачі даних або доступ із IP-адрес із чорного списку. Ці шаблони зазвичай закодовані в правилах виявлення або варіантах використання, що відповідають конкретним загрозам, таким як атаки методом грубої сили або латеральний рух.

Кореляція є ключовою частиною цього процесу аналізу. SIEMпов’язують між собою, здавалося б, не пов’язані між собою події в різних системах, як-от підозрілий вхід у систему, за яким слідує зміна конфігурації та завантаження великого файлу. Коли виявляється колекція підозрілих сповіщень, SIEM надсилає сповіщення команді безпеки організації, яка потім перевіряє та усуває основний ризик безпеці.

НДР проти SIEMДва різних варіанти використання

З моменту НДР та SIEM мають дещо різні ключові моменти, їхні ідеальні варіанти використання суттєво відрізняються. Розгляньте наступне:

Виявлення бокового руху

NDR особливо ефективний для виявлення горизонтального переміщення, оскільки, на відміну від традиційних інструментів безпеки, які значною мірою залежать від журналів та даних кінцевих точок, NDR орієнтований на поведінку пристроїв та користувачів у режимі реального часу у внутрішній мережі, що робить його спеціально навченим виявляти ледь помітні ознаки того, що зловмисник шпигує після компрометації.

Одинарне скло

SIEMзабезпечують команди єдиним інтерфейсом, централізуючи та консолідуючи дані безпеки з усіх ресурсів організації в одному інтерфейсі. Замість того, щоб аналітики перемикалися між кількома інструментами, кожен з яких охоплює певну ізольовану область, SIEM об'єднує все на одній платформі.

SIEMпідтримують цю універсальну функціональність, пропонуючи налаштовувані інформаційні панелі, сповіщення в режимі реального часу, часові рамки інцидентів та функції звітності в доступному інтерфейсі користувача. В результаті команди можуть об'єднати значну частину своїх робочих процесів в один та суттєво оптимізувати щоденні операції.

Поєднання точності NDR та SIEM Видимість за допомогою Stellar Cyber Open XDR платформа

У той час як SIEM та NDR – це потужні окремо інструменти, їхня спільна потужність дозволяє командам безпеки відстежувати повний ланцюжок атак – від початкового компрометування пристрою до горизонтального переміщення та розгортання шкідливого програмного забезпечення – та негайно здійснювати усунення наслідків. Розширене виявлення та реагування Stellar Cyber (XDR) забезпечує це. Stellar Cyber діє як наступне покоління SIEM, спрямовуючи всю інформацію про пристрої та мережу до централізованого механізму аналізу. Однак, замість простого генерування сповіщень, Stellar Cyber додає ще один рівень ідентифікації загроз, який кластеризує сповіщення відповідно до конкретного інциденту, до якого вони стосуються. Таким чином, хибнопозитивні результати відкидаються, а справжні сповіщення зіставляються з конкретними точками входу зловмисника та подальшими взаємодіями. Зрештою, ці інциденти доводяться до відома всієї вашої команди безпеки відповідно до налаштовуваної панелі інструментів Stellar. Повністю відмовтеся від ручного втручання та розгорніть автоматизовані схеми дій або надайте аналітикам передову видимість інцидентів. Ознайомтеся з Stellar Cyber за допомогою демонстрації та почніть створювати свій NDR та SIEM можливості.

Суміжні ресурси

Можливості безпеки

Вертикали

Порівняйте зі Stellar Cyber

Використовуйте випадки

Диференціатори

Лідерство мислення

Програми та ресурси

Розпочати

Рекомендовані ресурси

SOC Посібники з автоматизації

Посібники з SecOps

Керований штучним інтелектом SIEM Гід

Виберіть мову

НДР проти SIEM: Ключові відмінності

Що таке NDR?

Встановлення базової поведінки мережі

Виявлення відхилень від базової лінії

Аналіз на основі підписів

Автоматична відповідь

Що таке SIEM?

Збір, фільтрація та парсинг журналів

Нормалізація журналу

Аналіз та оповіщення

НДР проти SIEMДва різних варіанти використання

Виявлення бокового руху

Одинарне скло

Поєднання точності NDR та SIEM Видимість за допомогою Stellar Cyber Open XDR платформа

Звучить занадто добре, щоб бути правдою? Подивіться самі!

Продукти

Багатошаровий штучний інтелект™

Порівняти

Партнери

Ресурси

Компанія

Для підприємств

Для MSSP

Можливості та технології

мережу

Печиво на Stellar

Звучить занадто добре, щоб
бути правдою?
Подивіться самі!