NDR 与 SIEM: 主要区别
Gartner® 魔力象限™ NDR 解决方案
了解为什么我们是唯一进入挑战者象限的供应商……
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,用于即时威胁检测……
什么是 NDR?
网络检测与响应 NDR 主要致力于揭示组织网络内日常活动的细微细节。它并非在组织网络边缘放置网关(这样只能查看南北向流量),而是在内部网络上放置传感器,记录所有内部或东西向的连接。这样,NDR 便从防火墙停止的地方开始。
NDR 的传感器会复制每个数据包及其元数据,并将副本发送到解决方案的中央分析引擎。这通常通过网络 TAP 或 SPAN 端口实现,它们是高性能的硬件传感器;其他部署环境可能需要基于软件和虚拟的传感器。
总的来说,所有这些数据都被组装到 NDR 的持续监控和响应堆栈中:
网络行为基线建立
首次部署时,NDR 的直接作用是确定其所连接网络的日常行为。具体实现方式是将收集到的日志输入无监督学习算法,该算法将这些数据流组合成一个包含平均通信模式、通信量和通信时间的模型。通过对所有这些进行分析,NDR 可以应用其第一层网络级威胁检测。
检测与基线的偏差
当设备的网络行为开始偏离正常模式时,NDR 可以注意到它并将其标记为潜在可疑行为。这种行为可能包括突然涌入的登录尝试、尝试连接到受限端口,或者意外泄露通常不访问该数据库的员工的数据。
根据所讨论的异常行为,NDR 可以采取自动响应,或者将网络活动与已知的危害指标 (IoC) 进行比较。
基于签名的分析
大多数网络攻击都遵循特定的方法:这种攻击特征会产生固定的活动模式,即 IoC。为了验证网络异常背后的风险,NDR 可以将网络的实时活动与其 IoC 数据库进行比较,从而快速自动地准确检测出正在发生的攻击类型,并帮助精准定位潜在的攻击者。
自动回复
什么是 SIEM?
NDR(网络数据报告)负责收集和分析来自组织网络的各种数据包; SIEM 它覆盖范围更广:旨在获得整个组织的全面可视性。日志是设备在执行活动时生成的小文件:它们被收集用于 SIEM 通过安装在每个源设备上的软件代理进行分析。
从那里开始 SIEM 将日志文件重新组合成一个统一的视图,展现每个设备的操作:
日志收集、过滤和解析
日志规范化
每个设备或应用程序都会生成自己语法的日志——其格式从人类可读的文本到复杂的 JSON 或 XML 结构不等。为了使所有日志都易于理解, SIEM该系统的分析引擎会识别每条日志的来源,并应用针对该特定格式定制的解析器。解析器会将日志条目分解为各个数据字段,例如时间戳、源 IP 地址、目标端口、事件类型或用户 ID。然后,这种标准化的模式就可以在不同系统之间进行比较和分析。
分析和警报
此 SIEM 首先,系统会扫描预定义的模式和入侵指标 (IOC),例如多次登录失败、异常数据传输或来自黑名单 IP 地址的访问。这些模式通常编码在检测规则或用例中,对应于特定的威胁,例如暴力破解攻击或横向移动。
相关性是该分析过程的关键部分。 SIEMs 将不同系统中看似无关的事件联系起来——例如可疑登录、配置更改和大文件下载。当发现一系列可疑警报时, SIEM 向组织的安全团队发送警报,然后由安全团队核实并修复潜在的安全风险。
NDR 与 SIEM两种不同的使用场景
横向运动检测
单片玻璃
SIEM为团队提供单一界面,将组织所有资产的安全数据集中整合到一个统一的界面中。分析师无需在多个工具之间切换,每个工具仅覆盖一个孤立的领域,即可轻松获取所有信息。 SIEM 将所有功能整合到一个平台上。
SIEM该系统通过提供可定制的仪表盘、实时警报、事件时间线和报告功能,以及易于使用的用户界面,支持这种一站式功能。因此,团队可以将大量工作流程整合到一个系统中,并大幅简化日常运营。
结合 NDR 精度和 SIEM Stellar Cyber 的可见性 Open XDR 平台
