网络检测和响应 (NDR) 说明
- 关键要点:
-
网络检测和响应 (NDR) 有什么作用?
NDR 持续分析网络流量,构建行为模型来检测异常,并使用 AI 自动做出响应。 -
NDR 是如何从 NTA 发展而来的?
它从基本的流量监控转向使用行为和签名分析的高级检查和自动响应。 -
Stellar Cyber 的 NDR 提供哪些主要功能?
深度数据包检测、分布式传感器、集中式数据湖、基于 AI 的威胁检测和自动化 SOAR 集成。 -
Stellar Cyber 如何减少数据量并增强检测能力?
它实现了高达 500 倍的数据减少,同时丰富了威胁情报,实现了实时 AI 驱动的关联和响应。 -
NDR 如何帮助统一安全操作?
Stellar Cyber的NDR已集成到 Open XDR从而实现与……的无缝关联 SIEM,SOAR,以及 UEBA 在一个平台上。
网络检测与响应 (NDR) 通过被动获取和分析内部网络活动,为组织网络提供了新的可视性。随着 LLM 的兴起以及对网络纵深防御的新需求,NDR 工具已超越了这一核心功能。Gartner 的 NDR 报告 详细说明当今市场上的工具如何通过 LLM 增强、多模式威胁检测和基于 IaaS 的部署突破界限。
现代 NDR 的下游影响显著:更具凝聚力的事件响应、更严密的分析和更快的取证速度。本指南全面深入地介绍了 NDR。
Gartner® 魔力象限™ NDR 解决方案
了解为什么我们是唯一进入挑战者象限的供应商……
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,用于即时威胁检测……
NDR 如何运作
NDR 的独特之处在于能够持续分析东西向流量(内部)以及南北向流量(内部网络和公共互联网)之间的网络数据包和流量元数据。每个单独的网络活动都代表一个由 NDR 采集的关键数据点,然后每个数据点都用于构建内部网络日常行为的模型。
这样可以立即检测到任何偏差。这些不自然的模式会以警报的形式发送给分析师进行进一步检查;在这里,分析师会判断流量是否可能构成攻击,或者是否无害。具有自动响应功能的现代NDR可以自动部署补救措施(例如IP阻止),以响应已识别的威胁。这可以在分析师确定其合法性的同时,确保网络安全。
NDR 的演变
NDR 的早期起源可以追溯到 网络流量分析(NTA)。这个较旧的工具由安全和网络管理员共同使用:它允许他们密切关注哪些资产正在接收网络流量、每个应用程序或设备的响应速度以及发送到和来自某些来源的流量。
然而,随着2010年代初威胁形势的演变,安全管理员发现网络容量数据并不能完全反映情况。仅依靠NTA进行威胁检测需要经验丰富、目光敏锐的网络管理员;这会带来很多不确定性。网络检测与响应强调通用网络数据收集,并附加一层分析功能。
当今的 NDR 工具 通过文件签名比较和规则实施来强化这一核心行为分析。一旦发现潜在威胁,NDR 便可以自动隔离可疑文件,向安全管理员标记关键信息,并在更广泛的安全事件中关联警报。
NDR 在网络安全中的作用是什么
传统上,组织的网络安全依赖于静态威胁检测工具,例如防病毒和防火墙:这些工具依赖于基于签名的检测,根据每个工具数据库中的泄露指标来评估引入或在网络中共享的文件。
然而,这种设置(现在被称为基于边界的网络安全)存在一些固有缺陷。例如,如果防火墙没有持续更新,攻击者就有可能钻空子。一旦单个设备或服务被攻破,内部网络上设备之间的固有信任就会被利用,攻击者便会开始提升权限。
NDR 利用此攻击链,并意识到几乎每一次攻击都会至少触及一个内部网络。网络安全团队可以 部署 NDR 解决方案 跨南北向和东西向流量,使他们能够分别洞察进入组织的流量以及在内部设备之间共享的流量。这将关闭攻击者依赖的最大立足点之一。我们的 NDR 买家指南 详细说明如何处理和分析这些流量数据以发现可能的恶意活动。
NDR在安全运营中心中扮演什么角色?SOC)?
完整的网络可见性
已连接警报
快速网络感知
快速网络响应
NDR 与端点检测和响应 (EDR)
现代网络安全要求的不仅仅是网络活动的可视性——EDR 是专注于端点行为的相应解决方案。网络与端点检测相当简单:就像 NDR 采集网络上的每个操作并将其放置在更广泛的趋势图中一样,EDR 会采集每个设备级操作,并根据其历史行为或特定角色的行为进行分析。
EDR 产品通常通过每个端点上可部署的端点代理来交付。通过本地部署,EDR 可以获取进程信息,通过监控系统上运行的进程来帮助识别潜在的恶意程序。此外,还会检查文件信息以验证文件的完整性,同时检查用户信息以验证每个帐户的合法性。最后,还会收集系统信息,以全面了解端点的健康状况。
大多数组织不会单独部署 NDR 或 EDR,而是将 NDR 与 EDR 同时部署——这样可以跟踪和监控完整的攻击链。从初始账户入侵到网络级权限提升,再到最终的恶意软件部署,复杂的攻击链的所有环节都可以提前被捕获。看到这种潜力,一些网络安全厂商开始在两者之间提供另一层分析和协调功能——扩展检测与响应 (EDR)。XDR).
NDR 与 EDR 相比有何异同? XDR?
|
NDR(网络检测和响应) |
EDR(端点检测和响应) |
XDR (扩展的检测和响应) |
|
| 适用范围 | 网络流量。 | 端点(笔记本电脑、服务器、设备)。 | 全部(端点、网络、云)。 |
| 主要数据源 | 网络元数据、流量流。 | 端点遥测、文件和进程行为。 | 跨多个域的聚合遥测数据。 |
| 响应能力 | 仅限于网络级别的操作,越来越多地提供自动响应。 | 隔离到特定端点的响应,例如隔离。 | 提供完全自由的跨平台自动响应。 |
| 部署复杂度 | 中等(需要网络集成)。 | 中等(需要在端点上安装代理)。 | 高(需要跨所有安全平台或主要数据源集成)。 |
| 最佳用例 | 检测横向运动、隐秘威胁。 | 识别受损端点。 | 全面的威胁检测和响应。 |
NDR 解决方案中使用的技术
加密流量分析
保护加密流量一直以来都是一个棘手的话题:如今绝大多数流量都已加密,无法充分分析加密流量可能是一个重大疏忽。然而,在传输过程中解密所有网络数据包可能会大幅增加数据和令牌泄露的风险。
为了解决这个问题,市场领先的工具通常依赖于一系列 NDR 技术。为了防止令牌或解密数据泄露,可以将传感器部署在代理服务器后面。这采用加密流量检测,并通过代理进行路由:流量像往常一样解密,然后传感器将所有信息转发到中央 NDR 引擎。 在此了解有关我们的 NDR 功能的更多信息。
如果代理服务器不适合特定用例,则可以通过其模式准确检测流量的合法性。完全加密的流量可以通过 JA3 指纹识别进行恶意软件评估,而无需破解其加密。此外,模式和元数据可以结合起来检测加密数据包背后的意图,因为传感器仍然可以从数据包头和 TLS/SSL 握手中提取服务器证书、IP 地址、域名、会话持续时间和字节数。
最后,如果确实需要流量解密,现代 NDR 可以与数据包解密服务集成。生成的网络数据随后会正常发送到中央分析引擎。
自动资产发现
了解哪些设备正在将数据传入和传出网络至关重要。NDR 会根据每个设备对应的 MAC 地址、IP 地址和主机名,自动跟踪资产并将其添加到资产管理仪表板。这样,系统便可以根据受影响的资产显示网络级风险。
协议解码
行为分析
如何部署网络检测和响应
传感器部署
NDR 要求在任何受监控的网络中部署传感器。然而,不同的用例需要特定的传感器,而成功的部署需要选择合适的传感器。例如,Linux 发行版环境需要一个 Linux 服务器传感器。这些传感器通常会预先设定好可用的 CPU 资源,以便在收集命令执行和日志的同时保护服务器质量。Windows 服务器也需要其自己的传感器类型;这些传感器可以收集 Windows 系统的全部数据。 事件类型。
模块化传感器是另一种类型:它们允许将可定制功能与传感器一起打包。例如,如果需要部署日志转发功能,则可以包含日志转发功能。 SIEM 或其他安全工具——以及网络流量检测——根据网络数据审查 (NDR) 的要求。对于更高级别的安全需求,还可以部署模块化传感器以及沙箱和入侵检测系统。
为每个部署确定正确的传感器后,相应地设置它们至关重要。有很多部署方法可以实现这一点:SPAN 端口是最常见的一种,它的工作原理是将网络交换机上的网络流量镜像到带有 NDR 传感器的端口。这使得 NDR 工具可以被动地捕获流向该端口的所有流量。
虚拟环境依赖于部署的虚拟TAP,这些虚拟TAP可以捕获主机内部虚拟机之间流动的数据副本;物理TAP会错过此类流量,因为它永远不会经过物理网线。远程端点的网络活动可以通过基于代理的收集器进行监控;这类收集器是一种轻量级的收集器,可直接安装在设备上。
资料撷取
下载和设置
启用并调整自动响应
自动响应是现代 NDR 工具的一项关键功能:它们还能显著节省防御潜在攻击的时间。根据 NDR 的具体情况,需要配置其自动响应操作,例如 TCP 会话终止、动态网络分段或流量限制,以及触发每个操作所需的行为配置文件。 在此处了解有关如何部署 NDR 的更多信息。
将 NDR 与其他安全工具集成
EDR
SIEM
SIEM安全团队中普遍使用安全工具——它们可以进行日志分析和检测,是现代威胁管理的前身。然而,由于 SIEM系统处理大量日志——但仅凭日志无法提供最深入的威胁可见性—— SIEM该系统极易出现误报。结果是每天产生数千条警报,而人工审核这些警报实际上是不可能的。
NDR允许建立一层身份验证——无论何时 SIEM 如果发现潜在事件,即可分析相应的网络数据。如果两个数据源都指向攻击,则可通过网络检测与响应 (NDR) 的中央控制面板发出警报。这不仅有助于过滤掉错误警报,还能为审核分析人员提供更可靠的依据。
防火墙
