EDR/XDR

EDR nədir?

Endpoint Detection and Response (EDR) fərdi kompüterlər, serverlər və ya mobil cihazlar kimi son nöqtə səviyyəsində təhlükəsizlik insidentlərinin müəyyən edilməsinə və azaldılmasına yönəlmiş kibertəhlükəsizlik həllidir. EDR alətləri potensial təhlükələri aşkar etmək və onlara cavab vermək üçün proseslər, davranışlar və kommunikasiyalar haqqında məlumat toplayan son nöqtə fəaliyyətlərini davamlı olaraq izləyir. Onlar zərərli fəaliyyətləri müəyyən etmək və real vaxt rejimində cavab vermək üçün qabaqcıl analitika, maşın öyrənməsi və təhdid kəşfiyyatından istifadə edirlər. EDR son nöqtəyə əsaslanan hücumları aşkar etmək və saxlamaq, bütün təhlükənin həyat dövrünə dair anlayışlar təqdim etməklə təşkilatın ümumi təhlükəsizlik vəziyyətini artırmaq üçün vacibdir. Onun imkanlarına təhlükə ovlamaq, insidentlərə cavab vermək və pozulmuş son nöqtələri tez bir zamanda təcrid etmək və ya bərpa etmək bacarığı daxildir.

XDR nədir?

Extended Detection and Response (XDR) ənənəvi Endpoint Detection and Response (EDR) çərçivəsindən kənara çıxan qabaqcıl kibertəhlükəsizlik yanaşmasıdır. XDR potensial təhdidlərin hərtərəfli görünüşünü təmin etmək üçün son nöqtələr, şəbəkələr və bulud mühitləri daxil olmaqla müxtəlif təhlükəsizlik həllərindən məlumatları birləşdirir və əlaqələndirir. Çoxsaylı mənbələrdən məlumatların toplanması və təhlili ilə XDR mürəkkəb və əlaqələndirilmiş kiberhücumlara qarşı aşkarlama və reaksiya imkanlarını artırır. O, bütün İT mühitində təhdidlərin aşkarlanması və cavab iş axınlarını sadələşdirmək üçün qabaqcıl analitika, süni intellekt və avtomatlaşdırmadan istifadə edir.

IoC nədir?

Kompromis göstəricisi (IOC) kiminsə təşkilatın şəbəkəsini və ya son nöqtəsini pozmuş ola biləcəyinə dair sübutdur. Bu məhkəmə məlumatları təkcə potensial təhlükəni göstərmir, həm də zərərli proqram, təhlükəyə məruz qalmış etimadnamələr və ya məlumatların çıxarılması kimi hücumun artıq baş verdiyini bildirir.

EDR/XDR necə işləyir?

Agent Yerləşdirmə:

EDR/XDR həlləri adətən fərdi son nöqtələrdə yüngül agentlərin yerləşdirilməsini nəzərdə tutur. Bu agentlər davamlı olaraq məlumat toplayır və mərkəzləşdirilmiş platformaya göndərirlər. Məlumatların toplanması:

Agentlər sistem qeydləri, şəbəkə fəaliyyəti, fayl dəyişiklikləri, proseslərin icrası və s. daxil olmaqla geniş məlumat spektrini toplayır. Bu məlumatlar son nöqtə davranışının ətraflı görünüşünü təmin edir.

Davranış təhlili:

EDR/XDR həlləri hər bir son nöqtə üçün normal davranışın əsasını yaratmaq üçün davranış analizi və maşın öyrənmə alqoritmlərindən istifadə edir. Bu bazadan kənarlaşmalar potensial təhlükəsizlik təhdidlərini göstərə bilər.

Təhlükənin aşkarlanması:

EDR/XDR həlləri məlum kompromis göstəriciləri (IoCs), şübhəli nümunələr və ya anomaliyalar üçün toplanmış məlumatları təhlil edərək təhdidləri aşkarlayır. Bura zərərli proqramların aşkarlanması, icazəsiz giriş və ya digər zərərli fəaliyyətlər daxil ola bilər.

SIEM ilə inteqrasiya:

EDR/XDR ilə işləyən SOC analitiklər üçün əsas commandlar

EDR/XDR həlləri tez-tez məlumatları bölüşmək və ümumi görünürlüğünü artırmaq üçün Təhlükəsizlik Məlumatı və Hadisə İdarəetmə (SIEM) sistemləri ilə inteqrasiya olunur. Bu inteqrasiya SOC analitiklərinə son nöqtə hadisələrini daha geniş təhlükəsizlik konteksti ilə əlaqələndirməyə imkan verir.

Endpoint Xəbərdarlıqlarını axtarın:

Analitiklər xüsusi endpoint bağlı xəbərdarlıqları və hadisələri axtarmaq üçün əmrlərdən istifadə edə bilərlər.

search endpoint="hostname" AND action="Alert"

Endpoint fəaliyyətini araşdırın:

Müəyyən bir müddət üçün müəyyən bir endpointdə ətraflı fəaliyyəti təhlil etmək.

investigate endpoint="hostname" timeRange="last 24 hours"

Quarantine endpoint (XDR):

XDR-də əmrlər təhlükələrin daha da yayılmasının qarşısını almaq üçün endpointi karantinə almaq və ya onu şəbəkədən təcrid etmək üçün istifadə edilə bilər.

quarantine endpoint="hostname"

Təhlükəsizlik Duruşunu yoxlayın:

Endpointlərin ümumi təhlükəsizlik vəziyyətini nəzərdən keçirmək, zəiflikləri və ya yanlış konfiqurasiyaları axtarmaq.

check security posture endpoint="hostname"

Endpoint qeydlərini nəzərdən keçirin:

Fayl dəyişiklikləri, proses icraları və şəbəkə əlaqələri daxil olmaqla endpoint fəaliyyətlərinin ətraflı qeydlərinə baxmaq üçün.

show logs endpoint="hostname"

Yeniləmə Agenti/Tərifləri:

Ən son təhdidlərdən qorunmaq üçün endpoint agentlərinin və təhdid təriflərinin müasir olmasını təmin edin.

update agent definitions

IoC-ləri axtarın:

Xüsusi Kompromis Göstəriciləri (IoCs) ilə əlaqəli son endpointləri müəyyən edin və araşdırın.

search IoC="malicious_file_hash"

Hadisəyə cavab verin:

Müəyyən endpointdə təhlükəsizlik hadisəsinə cavab vermək və onu aradan qaldırmaq üçün əmrləri yerinə yetirin.

respond incident="incident_ID" action="quarantine"