15 大网络检测和响应 (NDR) 解决方案
Gartner® 魔力象限™ NDR 解决方案
了解为什么我们是唯一进入挑战者象限的供应商……
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,用于即时威胁检测……
为什么需要 NDR 解决方案?
现代网络与十年前的网络大不相同:应用程序工作负载依赖于分布式架构,远程员工严重依赖公共网络和家庭网络,而快速变化的全球威胁形势都给网络工程师和安全管理员带来越来越大的压力。
因此,曾经是网络安全堡垒的防火墙,如今却无法提供所需的全面可视性。它仅仅关注南北向数据流:即在内部网络和公共互联网之间传输的流量。NDR 解决方案填补了这一空白:它们在内部网络上部署传感器,监控内部设备之间的每一次交互。
这些数据被构建到正常网络行为模型中,并与其他情报进行比较和交叉引用。AI 模型会将这些数据与网络的历史模型进行比较,并发现偏差。了解 NDR 是什么.
如何选择正确的NDR工具
正如我们稍后将要探讨的,目前市面上有数十家网络检测与响应 (NDR) 提供商和工具。选择合适的方案首先要深入了解您特定的网络架构、威胁形势和合规性需求。为了实现这一点,需要几位关键利益相关者进行分析,例如首席信息安全官 (CISO)、 SOC 经理和/或网络管理团队都需要对当前的安全和网络管理盲点提出自己的意见。
NDR 的一个关键组成部分是它能够与现有的安全和 IT 基础设施集成。首先,可视化您自己的网络——了解它们的吞吐量、服务器基于什么平台;它们是本地部署还是云端部署,以及当前安全工具监控其中东西向流量的能力。
最后,评估贵公司在工具上投入的资源:快速设置、自动威胁检测和直观仪表盘的解决方案可以成为精益安全团队的生命线,而高度可定制的选项则需要更多人力来操作,但可以消除高度复杂网络上的误报。花时间弄清楚您的需求至关重要,否则您可能会仅仅因为三个字母的缩写就购买产品。
NDR 的主要功能是什么?
虽然从可用的 NDR 解决方案中正确选择至关重要,但值得确定提供核心功能的基本功能
- 深度数据包检测 (DPI): DPI 会分析网络数据包的全部内容(而不仅仅是数据包头),从而提供对数据流的详细洞察。DPI 虽然至关重要,但它也存在局限性:它占用大量资源,并且在高带宽环境或加密流量下难以发挥作用,因为在这些环境中,可见性会严重降低。
- 元数据分析: 元数据通过捕获会话属性(例如 IP 地址、端口、DNS 日志和加密详细信息)提供高度可扩展的洞察,无需深入研究完整的数据包有效载荷。与深度数据包检测 (DPI) 不同,它即使在加密和分布式网络中也能保持有效,使其成为现代环境的理想选择。
- 行为分析: 行为分析并非仅仅依赖已知的威胁特征,而是利用机器学习来发现异常。监督模型可以检测常见的威胁行为,而非监督模型则可以建立基线并标记偏差,从而帮助发现新型攻击。
- 威胁情报集成: 将 NDR 与威胁情报源关联起来,可以增强对已知 IoC 和攻击模式的检测。这种上下文信息有助于确定威胁的优先级并改进事件响应,尤其是在与 MITRE ATT&CK 等框架配合使用时。
- 安全堆栈集成: 将NDR与EDR等工具相结合 SIEM 它为安全团队提供全方位的可见性。网络上检测到的攻击数量大幅增加,而跨平台集成可以实现从初始入侵点开始的自动化或即时响应。
推荐的 15 大 NDR 解决方案
#1. Stellar Cyber
Stellar Cyber 是一个开放的扩展检测和响应 (Open XDRStellar 平台与其他网络检测与响应 (NDR) 厂商不同,它并非局限于网络遥测数据,而是专注于全面收集和分析所有相关的安全数据,包括网络和终端行为、身份协议以及生产力应用。在采集和分析所有数据后,Stellar 还会对警报进行预分析,将其分组为事件并剔除误报。
- 发现并分析所连接网络上的所有资产。
- 通过几轮交叉分析对所有数据进行规范化和分析。
- 对未加密数据包进行深度数据包检测,同时进行应用程序和网络元数据行为分析。
- 地图检测到针对特定 ATT&CK 技术的威胁——有助于清楚地了解攻击行为,而不是简单的异常警报。
优点(Pros) MITRE ATT&CK 合规,强大的威胁搜寻功能,高可扩展性和集成选项。所有功能均在一个许可证下提供。
缺点(Cons) 可能需要分析师培训,与预先存在的 EDR 工具集成时效果最佳。
#2. 深信服网络司令部
- 将网络日志数据导入中央管理平台。
- 建立正常资产行为的基线模型。
- 与其威胁情报中的妥协指标进行比较。
3. Palo Alto Networks 的 Cortex
- 将网络服务器和任何预先部署的安全工具中的数据拉入中央分析和警报引擎。
- 在发出警报之前结合端点和网络安全数据。
#4. Crowdstrike Falcon
与 Cortex 类似,Falcon 是一种联合 EDR 和 NDR 工具,可从组织的整个端点、网络、用户和安全工具中获取数据。
- 基于策略和行为的威胁检测。
- 向相关安全管理员发送优先警报。
- Crowdstrike 在客户之间共享 IoC,以防止新的攻击。
优点(Pros) 出色的可视性和日志记录、相对简单的部署和可访问的仪表板。
缺点(Cons) 有限的配置选项、警报和工作流程定制不如其数据分析功能那么深入。
#5。 暗迹
Darktrace 是一家英国的 NDR 解决方案公司,专注于将行为分析应用于网络安全。它还提供其他插件,例如电子邮件安全插件,可将相同的分析应用于通信平台。在没有专门安全团队的组织中很受欢迎。
- 部署在本地机器上的自学习行为分析模型。
- 包括用简单英语描述警报的 AI 聊天机器人。
优点(Pros) 免费试用、专门安装和初始配置支持。
缺点(Cons) 价格昂贵,缺乏第三方安全工具集成;仅仅依赖行为分析可能会带来大量误报的风险。
#6. ExtraHop RevealX
RevealX 是一个双重用途的 NDR 平台,也可用于其网络性能管理功能。
- 进行数据包捕获以进行分析,并提供 SSL 和 TLS 解密。
- 本地和基于云的部署选项。
优点(Pros) 良好的文档,解密使其能够发现加密的恶意软件包。
缺点(Cons) 价格昂贵,通常依赖于部署多个设备,数据包解密本身就可能存在安全隐患。
7. Vectra.ai
Vectra.AI 是一款成熟的 NDR 工具,可部署在组织的 SaaS、公共云和数据中心网络中。
- 通过中央人工智能分析网络和身份活动,并将问题整理成警报。
- 对警报进行优先排序并通过仪表板显示原因。
优点(Pros) Vectra 的托管检测和响应 (MDR) 功能可以支持其人工智能与人工评估。这是一款强大的独立工具。
缺点(Cons) 与其他安全工具的集成有限,对新用户的培训不够到位,定制化和知识要求高,仪表板相当技术化。
#8. 穆宁
Muninn 由 Logpoint 所有,是针对刚接触内部网络安全的中型组织的热门 NDR。
- 专注于简单部署,减少交换机和防火墙配置需求。
- 正常网络行为模型的基线。
- 可以在本地和隔离网络上部署。
优点(Pros) 对网络流量进行全面的概览,价格合理,可以长期存储原始数据以供取证。
缺点(Cons) 相对轻量级的工具,仍然需要手动进行深入的事件分析。
#9。 Rapid7 InsightIDR
虽然从技术上讲,基于云的安全信息和事件管理(SIEM它提供了一种强大的解决方案。 XDR 通过与终端和网络集成来实现各种功能。
- 在内部收集器上提供数据聚合,这有助于遵守严格的合规性法规。
- 依靠 MITRE ATT&CK 框架作为情报来源。
优点:方便 调查工具和仪表板,与现有安全工具快速集成。
缺点(Cons) 仪表板定制有限,仅限云可用,日志仅存储 12 个月。
第十名:阿里斯塔
Arista 是网络领域的巨头,专注于为大型数据中心、园区和路由环境提供配置服务。他们的 NDR 代表着从交换机到安全工具的转变。因此,它配置良好,能够处理大量网络数据,深受网络管理员的欢迎。
- 专注于零信任。
- 进行深度数据包检测。
- 可在几个小时内快速部署。
优点(Pros) 提供相当细粒度的报告功能,例如跟踪各个实体随时间推移的网络使用情况的能力。
缺点(Cons) 无法通过电子邮件或短信配置警报,或存档旧数据,文档非常有限。
#11. Fortinet NDR
另一家知名安全厂商 FortiNDR 是 Fortinet 的最新产品,也是其最昂贵的产品之一。该工具可以监控各个网络的持续活动,本质上结合了之前的 FortiGate 和 FortiSandbox 工具的功能。
- 分析东西网络数据包中的恶意行为和内容。
- 可以在隔离网络中部署。
- 提供指导手册以加速分析师的响应。
优点(Pros) 强大的零日检测;可通过仪表板获得基本的自动修复选项;可轻松与 Fortinet 工具集成。
缺点(Cons) 没有提供详细的分析,用户界面非常基础,与其他安全提供商工具的集成也不尽如人意。
#12. 思科安全网络分析(StealthWatch)
虽然严格来说,思科 StealthWatch 并非 NDR,但它被认为是网络可视性的一个选项。由于它有时包含在思科的企业许可中,因此成熟的思科公司可能会倾向于将其像 NDR 一样使用。然而,StealthWatch 的行为分析并不涵盖网络数据包内容,而只涵盖其元数据。
- 提供南北交通的实时可见性和报告。
- 允许延长数据保留时间,协助取证。
优点(Pros) 强大的网络流量分析工具,完全控制和可定制性,良好的客户支持,双重用途,用于网络问题故障排除
缺点(Cons) 需要大量的手动配置,不提供东西向或服务器日志分析,没有添加功能,固件更新很耗时。
#13. ManageEngine Netflow 分析器
与 StealthWatch 一样,ManageEngine 的 NetFlow Analyzer 是一种更传统的网络流量分析工具:它收集和分析各个子网中的网络流量,根据应用程序、接口和设备对使用情况进行细分和分析。
- 对南北流量应用行为分析,允许管理员发现意外的流量和请求。
- 监控并映射应用程序协议。
优点(Pros) 非常经济高效,允许经验丰富的网络管理员跟踪往返内部网络的流量
缺点(Cons) 严格来说,它不是 NDR,因为它不允许分析东西网络流量。
#14. IronDefense
IronNet 的 NDR 解决方案 IronDefense 是安全领域的一个相对较新的产品,它是一款功能齐全的 NDR 产品。
- 提供实时东西方可视性。
- 提供可定制的剧本来执行完全或部分自动化的响应。
优点(Pros) IronNet 团队高度重视新功能和改进。部署和集成保持简单流畅。
缺点(Cons) 在快速扩展的网络上部署时可能难以快速运行,没有最漂亮的界面,初级分析师需要在学习曲线上获得支持。
#15. 核心光
鉴于我们已经介绍过的专有软件数量之多,Corelight 打破了这一惯例,因为它基于开源软件 Zeek 构建。Zeek 是一个成熟的网络流量监控系统,但仅限于被动日志收集;在开源环境中,管理员通常使用 Suricata 进行部署。Corelight 继承了 Zeek 的功能,并在此基础上进行了改进。
- 自动化事件分析。
- 人工智能辅助票务管理可以加快工作流程。
- 传感器管理器,名为 Fleet Manager,允许对传感器进行总体管理。
优点(Pros) 高度重视灵活集成;据报道客户服务非常好。
缺点(Cons) 没有 TLS 解密,Fleet 管理器会变得难以操作,无法连续下载系统日志,也无法将以前的策略应用于新的传感器。
使用 Stellar Cyber 自动化网络检测和响应
Stellar Cyber 以前所未有的方式简化了网络安全:其广泛的原始数据收集范围涵盖第 2 层至第 7 层,提取每个数据点,然后评估每个数据点是否存在关联的启发式方法或已知的攻击特征。Stellar 无需将警报堆积到分析师的收件箱中,而是将单个警报整理到更广泛的安全事件中,让分析师抢占先机。最后,只需单击一下,即可自动设置响应操作或采取补救措施。 点击此处探索 Stellar Cyber 的更多功能并开始使您的网络安全更加精确和全面。
