什么是 NDR?
今天的 网络检测和响应 (NDR) 历史悠久,演化自网络安全和 网络流量分析 (NTA). 网络安全的历史定义是使用外围防火墙和入侵防御系统来屏蔽进入网络的流量,但随着 IT 和安全技术的发展,由于现代攻击利用了更复杂的方法,因此定义现在要广泛得多。
今天,网络安全是公司为确保其网络及其连接的一切安全所做的一切。 这包括网络、云(或多个云)、端点、服务器、物联网、用户和应用程序。 网络安全 产品寻求使用物理和虚拟预防措施来保护网络及其资产免受未经授权的访问、修改、破坏和滥用。
为什么 NDR 很重要?
NDR 很重要,因为网络是 IT 基础设施的支柱,每个用户和设备都连接到它——如果您能以有意义的方式查看流量,它就是唯一的事实来源。 来自您所有系统(包括端点、服务器、应用程序和互联网)的流量必须通过网络,因此网络是有关安全漏洞的真实信息的逻辑来源,并且 NDR 是捕获该信息的工具。
有很多安全工具涵盖端点、电子邮件等应用程序和服务器,但分析来自这些工具的数据和日志还不足以阻止当今的攻击。 如果要了解有关网络的一件重要事情,那就是它不会说谎。 这就是为什么 NDR 完成了一个组织的旅程 一切检测和响应 (即 XDR) 与端点检测和响应(即 EDR)一起用于端点数据和 SIEM 用于安全工具日志。 具体来说, NDR 查看端点和其他日志看不到的内容(整个网络;设备、SaaS 应用程序、用户行为),充当真实数据集并启用实时响应。
NDR 如何运作?
NDR 解决方案使用非基于签名的技术(例如, 机器学习 或其他分析技术)以及基于质量签名的技术(例如威胁情报内联警报),用于检测可疑流量或活动的已知攻击。 NDR 可以从专用 传感器、现有防火墙、IPS/IDS、来自 网络流,或任何其他网络数据源,假设传感器和/或其他网络遥测的战略位置。 北/南流量和东/西流量以及物理和虚拟环境中的流量都应受到监控。 所有数据都在中央数据湖中收集和汇总,并丰富了上下文,例如 威胁情报、主机名和/或用户信息,然后由高级 人工智能引擎 检测可疑的流量模式并发出警报。
一旦触发警报,分析师或 NDR 解决方案必须响应。 响应是检测的关键对应物,是检测的基础 NDR. 自动响应,例如发送命令到 火墙 丢弃可疑流量或 EDR 隔离受影响端点的工具,或提供威胁搜寻或事件调查工具等手动响应是 NDR.
您如何将 NDR 与其他安全工具集成?
NDR 工具通过由 NDR 提供的应用程序编程接口 (API) 与其他安全工具集成。 NDR 小贩。 当然,如果您使用的是 Stellar Cyber Open XDR 平台, NDR 已经集成到其中,以及下一代 SIEM 和威胁情报。
