最后更新于2023年7月26日(星期三)22:04:45 GMT
T他的博客文章是一个正在进行的系列的一部分, MDR供应商必备条件.
在评估哪一个时,有许多因素需要考虑 管理检测和响应(MDR)供应商 是否适合你的组织. 可以提供令人难以置信的好处的一个领域是网络设备数据的摄取. 这篇博文将介绍为什么这是MDR承诺的重要组成部分,并分析Rapid7是如何做到的 MDR的团队 方法它.
网络设备数据摄取的重要性
拥有端点可见性并不意味着分析师不应该重视来自网络设备的信息, 监视它的事件源(IDS), DPI, DHCP, DNS), 或者网络流. 相反,攻击者将不可避免地利用网络进行攻击.
网络数据是轻量级的, 轻松地搜索, 并且可以快速识别攻击者在整个网络中的确切位置,从而识别漏洞的范围. 利用这些数据,分析人员可以采取行动,了解整个网络层发生了什么, 同时将事件与端点相关联.
这些数据可以帮助早期发现潜在的危害, 同时为调查添加背景,以了解攻击者如何进入或在网络中移动. 与现有的用户、日志和端点数据一起 MDR 团队可以利用 网络流量分析 帮助分析师:
- 确保无处不在的持续可见性.
- 结合使用IDS和网络元数据分析,快速识别危害.
- 跨系统和应用程序跟踪潜在攻击者的步骤.
换句话说,网络流量分析照亮了网络的黑暗角落. 它为早期威胁检测提供了更高的可视性和额外的轴, 以及丰富的设备和活动信息,以加快调查.
关键是将南北网络流量检查与网络流(东西向)流量结合起来,以获得正在发生的事情的全貌.
南北交通检查通常很容易, 工具一直存在,因此任何安全操作团队都可以在其技术堆栈中添加网络可见性,并将此活动与端点数据关联起来.
另一方面,由于缺乏能见度,东西方向的交通更加困难. 这种流量通常不会碰到防火墙,并且由于在该级别捕获和导出netflow数据的性能问题,从交换机获得的数据可能会有很大差异. 不要让我们开始在虚拟环境中监控东西交通.
在东西交通流中监控的典型事情是使用Nmap之类的工具进行侦察/网络映射, 扫描漏洞或打开端口和传输漏洞或移动文件与netcat, etc. 监视东西通信的其他情况是不安全的协议使用(TLS低于1).2、SMB v1或v2等.)及影子资讯科技.
多药耐药有多快
Rapid7的MDR SOC利用了IDS等网络流量数据, DNS, DHCP, 以及DPI,以便及早发现恶意威胁并跟踪攻击者在网络中的活动. 分析网络流量使我们的团队能够监视从外围到端点和服务器之间的连接的所有活动.
Rapid7 MDR团队仔细过滤了IDS事件,只捕获最关键和可操作的检测. 这意味着当恶意软件, 僵尸网络攻击。, 或者检测到其他危害, 团队将不必经过冗长的循环来确定其有效性. 分析师可以根据可靠的、经过审查的警报自信地采取行动.
▶︎ MDR产品导览
Rapid7专有的DPI引擎捕获和分析可读流量, 可说明的细节, 没有完整数据包捕获的复杂性和开销. 这种被动分析也意味着对网络没有性能影响. 有了这些丰富的流量数据, 团队有深入的细节来跟踪攻击者在网络中的进入和移动. 这有助于加快调查并为应对行动提供信息.
该数据还可用于将网络活动与端点上的流程和操作关联起来. 我们的洞察传感器和洞察代理将主机上的网络级活动发送到洞察云, 我们分析流程级和网络连接, 将这些与防火墙事件关联起来,看看它是被接受还是被阻止了, 然后给事件定个严重程度. 这为我们的分析人员提供了更多的数据点和证据,以了解连接是否恶意(例如, 恶意软件调用外部IP地址). 有了这种组合,攻击者无处可藏.
