NDR so với SIEM: Sự khác biệt chính
Giải pháp NDR của Gartner® Magic Quadrant™
Xem lý do tại sao chúng tôi là nhà cung cấp duy nhất được xếp vào nhóm Challenger...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện mối đe dọa ngay lập tức...
NDR là gì?
Phát hiện và phản hồi mạng tập trung chủ yếu vào việc khám phá các hoạt động hàng ngày chi tiết trong mạng lưới của một tổ chức. Thay vì đặt một cổng ở rìa mạng lưới của một tổ chức – chỉ cấp khả năng hiển thị lưu lượng Bắc-Nam – NDR đặt các cảm biến trên các mạng nội bộ, ghi lại tất cả các kết nối nội bộ hoặc Đông-Tây. Theo cách này, NDR bắt đầu từ nơi tường lửa dừng lại.
Các cảm biến của NDR sao chép từng gói tin – cùng với siêu dữ liệu của nó – và gửi các bản sao đến công cụ phân tích trung tâm của giải pháp. Điều này thường đạt được bằng TAP mạng hoặc cổng span, là các cảm biến dựa trên phần cứng hiệu suất cao; các môi trường triển khai khác có thể yêu cầu cảm biến dựa trên phần mềm và ảo.
Tất cả dữ liệu này được tập hợp lại thành một ngăn xếp phản hồi và giám sát liên tục của NDR:
Thiết lập đường cơ sở hành vi mạng lưới
Khi triển khai lần đầu, vai trò tức thời của NDR là thiết lập hành vi bình thường, hàng ngày của các mạng được kết nối của nó. Điều này đạt được bằng cách đưa các bản ghi đã thu thập vào một thuật toán học không giám sát, thuật toán này sẽ tập hợp luồng dữ liệu này thành một mô hình về các mẫu giao tiếp trung bình, khối lượng và thời gian. Bằng cách lập hồ sơ tất cả những điều này, NDR có thể áp dụng lớp đầu tiên của phát hiện mối đe dọa ở cấp độ mạng.
Phát hiện độ lệch so với đường cơ sở
Khi hành vi mạng của thiết bị bắt đầu lệch khỏi mô hình bình thường, NDR có thể nhận thấy và đánh dấu là có khả năng đáng ngờ. Hành vi này có thể bao gồm một lượng lớn các nỗ lực đăng nhập đột ngột, các nỗ lực kết nối đến các cổng bị hạn chế hoặc việc rò rỉ dữ liệu bất ngờ từ một nhân viên không thường xuyên truy cập cơ sở dữ liệu đó.
Tùy thuộc vào hành vi bất thường đang được đề cập, NDR sau đó có thể đưa ra phản hồi tự động hoặc so sánh hoạt động của mạng với các Chỉ số xâm phạm (IoC) đã biết.
Phân tích dựa trên chữ ký
Phần lớn các cuộc tấn công mạng đều tuân theo một cách tiếp cận cụ thể: hồ sơ tấn công này dẫn đến các mẫu hoạt động được thiết lập hoặc IoC. Để xác minh rủi ro đằng sau các sai lệch mạng, NDR có thể so sánh hoạt động thời gian thực của mạng với cơ sở dữ liệu IoC của nó, cho phép nó nhanh chóng và tự động phát hiện chính xác cuộc tấn công nào đang xảy ra - và giúp xác định kẻ tấn công tiềm năng.
Phản hồi tự động
Là gì SIEM?
Trong khi NDR thu thập và phân tích các gói dữ liệu từ mạng của một tổ chức, SIEM Nó mở rộng phạm vi hơn nữa: mục tiêu là đạt được khả năng hiển thị toàn diện trên toàn tổ chức. Nhật ký là các tệp nhỏ mà thiết bị tạo ra mỗi khi thực hiện một hoạt động: chúng được thu thập để SIEM Phân tích được thực hiện thông qua một phần mềm tác nhân được cài đặt trên mỗi thiết bị nguồn.
Từ đó, SIEM Tập hợp lại các tệp nhật ký thành một cái nhìn tổng quan mạch lạc về hoạt động của từng thiết bị:
Thu thập, lọc và phân tích nhật ký
Chuẩn hóa nhật ký
Mỗi thiết bị hoặc ứng dụng tạo ra nhật ký theo cú pháp riêng của nó — điều này có thể dao động từ văn bản dễ đọc đối với con người đến các cấu trúc JSON hoặc XML phức tạp. Để làm cho tất cả trở nên dễ đọc đối với... SIEMHệ thống phân tích dữ liệu này xác định nguồn gốc của từng bản ghi và áp dụng một trình phân tích cú pháp được thiết kế riêng cho định dạng cụ thể đó. Trình phân tích cú pháp chia nhỏ các mục nhật ký thành các trường dữ liệu riêng lẻ, chẳng hạn như dấu thời gian, địa chỉ IP nguồn, cổng đích, loại sự kiện hoặc ID người dùng. Sau đó, lược đồ chuẩn hóa này có thể được so sánh và phân tích trên nhiều hệ thống khác nhau.
Phân tích và cảnh báo
SIEM Quá trình này bắt đầu bằng việc quét các mẫu và dấu hiệu xâm phạm (IOC) được xác định trước, chẳng hạn như nhiều lần đăng nhập thất bại, truyền dữ liệu bất thường hoặc truy cập từ các địa chỉ IP bị đưa vào danh sách đen. Các mẫu này thường được mã hóa trong các quy tắc phát hiện hoặc các trường hợp sử dụng tương ứng với các mối đe dọa cụ thể, như tấn công vét cạn mật khẩu hoặc di chuyển ngang.
Hệ số tương quan là một phần quan trọng của quá trình phân tích này. SIEMCác liên kết này kết nối các sự kiện tưởng chừng như không liên quan trên các hệ thống khác nhau – chẳng hạn như một lần đăng nhập đáng ngờ, tiếp theo là thay đổi cấu hình và tải xuống một tập tin lớn. Khi phát hiện một loạt cảnh báo đáng ngờ, hệ thống sẽ... SIEM Hệ thống sẽ gửi cảnh báo đến đội ngũ an ninh của tổ chức, những người sau đó sẽ xác minh và khắc phục rủi ro an ninh tiềm ẩn.
NDR so với SIEMHai trường hợp sử dụng khác nhau
Phát hiện chuyển động bên
Một tấm kính
SIEMCác giải pháp này cung cấp cho các nhóm một giao diện duy nhất, tập trung và hợp nhất dữ liệu bảo mật từ toàn bộ tài sản của tổ chức vào một giao diện duy nhất. Thay vì các nhà phân tích phải chuyển đổi giữa nhiều công cụ, mỗi công cụ chỉ bao phủ một lĩnh vực riêng biệt, một giải pháp toàn diện hơn sẽ giúp việc quản lý bảo mật trở nên dễ dàng hơn. SIEM Tập hợp mọi thứ vào một nền tảng duy nhất.
SIEMNền tảng này hỗ trợ chức năng "một cửa" bằng cách cung cấp bảng điều khiển tùy chỉnh, cảnh báo thời gian thực, dòng thời gian sự cố và các tính năng báo cáo trong một giao diện người dùng dễ tiếp cận. Nhờ đó, các nhóm có thể hợp nhất phần lớn quy trình làm việc của họ vào một hệ thống duy nhất và tối ưu hóa đáng kể các hoạt động hàng ngày.
Kết hợp độ chính xác NDR và SIEM Tăng cường khả năng hiển thị với Stellar Cyber's Open XDR Nền tảng
