网络中的检测和响应(NDR)是指在网络流量上应用规则和签名,自动检测出疑似恶意活动并发出警报的方法。。
NDR解决方案的范畴曾经ネットワークトラフィック分析(NTA)NTA的目的也是监控网络流量。。NDR用标准的解决方案满足了对包括自动应对措施在内的范畴的需求,扩大了范围。。
因此,大多数最新的解决方案都具有监视、检测和应对可能威胁的活动的功能。。因此,在检测到威胁后,安全负责人立即采取封锁和应对措施,迅速强制终止不正当行为或被感染エンドポイントを隔離できます。
Gartner®によると、組織はランサムウェアNDR来检测和封锁内部人员的威胁,水平展开等侵害后的活动。。NDRの主な機能には以下が含まれます。
NDR是通过监控、检测和应对可能对网络和业务完整性造成负面影响的警告来发挥作用的。。これらのプロセスを詳しく見てみましょう。
在这个过程中最重要的一个方面是你可以获得实时信息,关于用户活动、应用程序活动和网络活动。。此外,网络数据必须是容易查询的,以便分析师能够迅速地根据可疑行为进行警报调查。。我们不仅可以建立自定义警告,以便从关于过去可疑活动的丰富信息中开始调查,攻撃者行動分析(ABA)可以访问库也是很重要的。。
建立正常网络行为和行为的基线是非常重要的,因为自动系统可以识别正常和可疑的行为。。例えば、ユーザー行動分析(UBA)是帮助团队迅速判断疑似威胁的活动是由伪装成员工的外部攻击者所为,还是由因过失或恶意导致某种风险的员工所为。站起来。。UBA将网络上的行为与特定用户联系,而不是IP地址或资产,并将其与该用户的正常事件活动基线进行比较。。
NDR解决方案需要在检测到事故时自动执行操作。。隔離に始まり、接続の切断、セキュリティ オペレーションセンター(SOC)のアナリストが開発した一連の事前定義されたアクションの実行に至るまで、最近のソリューションでは、オンプレミスでもクラウドでも、ネットワーク境界の侵害時に攻撃者を迅速に排除することが一般に可能となっています。在检测过程中所做的行动包括详细分析事件,反向工程恶意软件等攻击方法,以及创建入侵报告。。
脅威インテリジェンス(TI)我们需要持续提供自动化威胁优先级和修改工作所需的信息。。如果安全组织对特定威胁的信息掌握得不够充分,那么TI馈送可以起到补充作用。。威胁情报的来源有很多种形式,从基于开源社区的列表到非公开收费的,这些来源的有效性取决于以下几个因素。
在上下文情报反馈中,侵害の兆候(IOC)它还提供了攻击者使用基础设施和工具的详细信息。。要成功检测到威胁,包含上下文信息的信息更有效。。
NDRの利点は非常に多数存在します。通过对网络恶意活动的彻底监控和快速反应,我们可以获得保护、检测和全方位的好处。。以下是其中的一些好处。。
NDR是必须的,但是最新的攻击者的手段不仅仅局限于网络,安全也需要同样的措施。。NDR在网络日志调查方面很出色,但是端点的警告和事件不在调查对象范围内,也不能扩展到云。
因此,NDR产品通常不被作为单独的解决方案来使用,扩展Detection and Response (XDR)的一系列解决方案。。このソリューションには以下が含まれます。
用户在端点上的远程测量提供了关于文件和网络的访问和操作,注册表的访问和操作,内存管理,开始和停止的分析信息。生成命令shell的过程、尝试内存注入、访问不寻常的可疑文件等都是异常行为。。
服务器遥测提供高度细分化的数据信息。。服务器负责处理对组织来说非常重要的信息,所以XDR处理的远程测量可以帮助我们在更宏观的层面上进行事件调查和排序修复。。
网络遥测提供了关于流量,特别是数量的急剧增长,新的网络协议,或者异常特权的升级的分析信息。。 高度な暗号化方式 は、多くの場合、脅威アクター可能会阻止更深层次的网络分析。。 但是,结合端点遥测,网络流量分析有可能成为XDR分析的基础。。
云传输提供基础设施的分析信息。。云传输包括云工作负载和检测部署组件的安全异常等信息。。针对特定组织的云的攻击者,只要有通过某种方法获得的正规账户信息就能轻易访问云,因此利用XDR的检测技术迅速捕捉威胁,强化云环境非常重要。。
攻撃者の行動分析を脅威検知的方法,团队可以迅速开发新的攻击者行为的规则,在发现新的方法和动向后的几分钟内开始检测。。UBA擅长在攻击的“水平展开”阶段识别侵犯。。ABA允许我们在攻击生命周期的所有其他阶段检测攻击者的活动。。
Gartner社、『2020 Market Guide for Network Detection and Response (NDR)(ネットワーク検知と対応(NDR)のマーケットガイド2020年版)』Jeremy D’Hoinne、Nat Smith、Thomas Lintemuth(2022年12月14日)