NDR so với SIEM: Sự khác biệt chính
Giải pháp NDR của Gartner® Magic Quadrant™
Xem lý do tại sao chúng tôi là nhà cung cấp duy nhất được xếp vào nhóm Challenger...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện mối đe dọa ngay lập tức...
NDR là gì?
Phát hiện và phản hồi mạng tập trung chủ yếu vào việc khám phá các hoạt động hàng ngày chi tiết trong mạng lưới của một tổ chức. Thay vì đặt một cổng ở rìa mạng lưới của một tổ chức – chỉ cấp khả năng hiển thị lưu lượng Bắc-Nam – NDR đặt các cảm biến trên các mạng nội bộ, ghi lại tất cả các kết nối nội bộ hoặc Đông-Tây. Theo cách này, NDR bắt đầu từ nơi tường lửa dừng lại.
Các cảm biến của NDR sao chép từng gói tin – cùng với siêu dữ liệu của nó – và gửi các bản sao đến công cụ phân tích trung tâm của giải pháp. Điều này thường đạt được bằng TAP mạng hoặc cổng span, là các cảm biến dựa trên phần cứng hiệu suất cao; các môi trường triển khai khác có thể yêu cầu cảm biến dựa trên phần mềm và ảo.
Tất cả dữ liệu này được tập hợp lại thành một ngăn xếp phản hồi và giám sát liên tục của NDR:
Thiết lập đường cơ sở hành vi mạng lưới
Khi triển khai lần đầu, vai trò tức thời của NDR là thiết lập hành vi bình thường, hàng ngày của các mạng được kết nối của nó. Điều này đạt được bằng cách đưa các bản ghi đã thu thập vào một thuật toán học không giám sát, thuật toán này sẽ tập hợp luồng dữ liệu này thành một mô hình về các mẫu giao tiếp trung bình, khối lượng và thời gian. Bằng cách lập hồ sơ tất cả những điều này, NDR có thể áp dụng lớp đầu tiên của phát hiện mối đe dọa ở cấp độ mạng.
Phát hiện độ lệch so với đường cơ sở
Khi hành vi mạng của thiết bị bắt đầu lệch khỏi mô hình bình thường, NDR có thể nhận thấy và đánh dấu là có khả năng đáng ngờ. Hành vi này có thể bao gồm một lượng lớn các nỗ lực đăng nhập đột ngột, các nỗ lực kết nối đến các cổng bị hạn chế hoặc việc rò rỉ dữ liệu bất ngờ từ một nhân viên không thường xuyên truy cập cơ sở dữ liệu đó.
Tùy thuộc vào hành vi bất thường đang được đề cập, NDR sau đó có thể đưa ra phản hồi tự động hoặc so sánh hoạt động của mạng với các Chỉ số xâm phạm (IoC) đã biết.
Phân tích dựa trên chữ ký
Phần lớn các cuộc tấn công mạng đều tuân theo một cách tiếp cận cụ thể: hồ sơ tấn công này dẫn đến các mẫu hoạt động được thiết lập hoặc IoC. Để xác minh rủi ro đằng sau các sai lệch mạng, NDR có thể so sánh hoạt động thời gian thực của mạng với cơ sở dữ liệu IoC của nó, cho phép nó nhanh chóng và tự động phát hiện chính xác cuộc tấn công nào đang xảy ra - và giúp xác định kẻ tấn công tiềm năng.
Phản hồi tự động
SIEM là gì?
Trong khi NDR thu thập và phân tích các gói tin từ mạng của tổ chức, SIEM mở rộng phạm vi rộng hơn nữa: mục đích là đạt được khả năng hiển thị toàn bộ tổ chức. Nhật ký là các tệp nhỏ mà thiết bị tạo ra bất cứ khi nào thực hiện một hoạt động: chúng được thu thập để phân tích SIEM thông qua một tác nhân phần mềm được cài đặt trên mỗi thiết bị nguồn.
Từ đó, SIEM lắp ráp lại các tệp nhật ký thành một dạng xem thống nhất về các hành động của từng thiết bị:
Thu thập, lọc và phân tích nhật ký
Chuẩn hóa nhật ký
Mỗi thiết bị hoặc ứng dụng tạo nhật ký theo cú pháp riêng của nó—có thể từ văn bản dễ đọc cho đến các cấu trúc JSON hoặc XML dày đặc. Để làm cho tất cả dễ đọc đối với công cụ phân tích của SIEM, hệ thống xác định nguồn cho mỗi nhật ký và áp dụng trình phân tích cú pháp được điều chỉnh theo định dạng cụ thể đó. Trình phân tích cú pháp chia nhỏ các mục nhật ký thành các trường dữ liệu riêng lẻ, chẳng hạn như dấu thời gian, IP nguồn, cổng đích, loại sự kiện hoặc ID người dùng. Sau đó, lược đồ chuẩn hóa này có thể được so sánh và phân tích trên các hệ thống.
Phân tích và cảnh báo
SIEM bắt đầu bằng cách quét các mẫu và chỉ số xâm phạm (IOC) được xác định trước, chẳng hạn như nhiều lần đăng nhập không thành công, chuyển dữ liệu bất thường hoặc truy cập từ các địa chỉ IP bị liệt kê đen. Các mẫu này thường được mã hóa trong các quy tắc phát hiện hoặc các trường hợp sử dụng ánh xạ đến các mối đe dọa cụ thể, như tấn công brute-force hoặc di chuyển ngang.
Tương quan là một phần quan trọng của quá trình phân tích này. SIEM liên kết các sự kiện có vẻ không liên quan trên các hệ thống khác nhau – như một lần đăng nhập đáng ngờ tiếp theo là thay đổi cấu hình và tải xuống tệp lớn. Khi phát hiện ra một tập hợp các cảnh báo đáng ngờ, SIEM sẽ gửi cảnh báo đến nhóm bảo mật của tổ chức, sau đó nhóm này sẽ xác minh và khắc phục rủi ro bảo mật tiềm ẩn.
NDR so với SIEM: Hai trường hợp sử dụng khác nhau
Phát hiện chuyển động bên
Một tấm kính
SIEM cung cấp cho các nhóm một bảng điều khiển duy nhất, tập trung và hợp nhất dữ liệu bảo mật từ toàn bộ tài sản của tổ chức thành một giao diện. Thay vì các nhà phân tích phải chuyển đổi giữa nhiều công cụ, mỗi công cụ bao gồm một miền riêng biệt cụ thể, SIEM tổng hợp mọi thứ thành một nền tảng.
SIEM hỗ trợ chức năng một cửa này bằng cách cung cấp bảng điều khiển tùy chỉnh, cảnh báo thời gian thực, mốc thời gian sự cố và các tính năng báo cáo trong giao diện người dùng có thể truy cập. Do đó, các nhóm có thể hợp nhất rất nhiều quy trình công việc của họ thành một và hợp lý hóa đáng kể các hoạt động hàng ngày.
Kết hợp NDR Precision và SIEM Visibility với Nền tảng Open XDR của Stellar Cyber
