Что такое отчет о недоставке?
Сегодня обнаружение сети и ответ (NDR) имеет долгую историю, развиваясь из сетевой безопасности и анализ сетевого трафика (NTA). Историческое определение сетевой безопасности - это использование брандмауэра по периметру и систем предотвращения вторжений для фильтрации входящего в сеть трафика, но по мере развития ИТ и технологий безопасности это определение стало намного шире из-за современных атак, использующих более сложные подходы.
Сегодня сетевая безопасность - это все, что компания делает для обеспечения безопасности своих сетей и всего, что к ним подключено. Это включает в себя сеть, облако (или облака), конечные точки, серверы, Интернет вещей, пользователей и приложения. Сетевая безопасность продукты стремятся использовать физические и виртуальные превентивные меры для защиты сети и ее активов от несанкционированного доступа, модификации, разрушения и неправомерного использования.
Почему важен отчет о недоставке?
NDR важно, потому что сеть является основой ИТ-инфраструктуры, и к ней подключены все пользователи и устройства - это единственный источник правды, если вы можете осмысленно видеть трафик. Трафик со всех ваших систем, включая конечные точки, серверы, приложения и Интернет, должен проходить по сети, поэтому сеть является логическим источником достоверной информации об уязвимостях безопасности и NDR - это инструмент, который собирает эту информацию.
Существует множество инструментов безопасности, которые охватывают конечные точки, приложения, такие как электронная почта, и серверы, но анализа данных и журналов этих инструментов недостаточно для предотвращения сегодняшних атак. Если есть одна важная вещь, которую нужно знать о сети, так это то, что она не лжет. Вот почему отчет о недоставке завершает путь организации к Обнаружение и реагирование на все (То есть, XDR) наряду с обнаружением и ответом конечной точки (т. е. EDR) для данных конечной точки и SIEM для журналов средств безопасности. Конкретно, NDR видит то, чего не видят конечные точки и другие журналы (вся сеть; устройства, приложения SaaS, поведение пользователей), действует как истинный набор данных и обеспечивает ответы в реальном времени.
Как работает отчет о недоставке?
NDR решения используют методы, не основанные на сигнатуре (например, обучение с помощью машины или другие аналитические методы) для неизвестных атак наряду с качественными методами на основе сигнатур (например, информация об угрозах, встроенная в оперативную систему для оповещений) для известных атак для обнаружения подозрительного трафика или действий. NDR может принимать данные из выделенных датчик, существующие межсетевые экраны, IPS / IDS, метаданные из Поток данных, передающихся по сети, или любой другой сетевой источник данных, предполагающий стратегическое размещение датчиков и / или другой сетевой телеметрии. Необходимо отслеживать трафик как север / юг, так и трафик восток / запад, а также трафик как в физической, так и в виртуальной среде. Все данные собираются и агрегируются в центральном озере данных, обогащенном такими контекстами, как Угроза, имя хоста и / или информацию о пользователе, которые затем обрабатываются расширенным AI движок для обнаружения подозрительных моделей трафика и создания предупреждений.
После срабатывания предупреждений аналитик или NDR решение должно откликнуться. Реагирование является важнейшим эквивалентом обнаружений и имеет основополагающее значение для NDR. Автоматические ответы, такие как отправка команд на брандмауэр сбросить подозрительный трафик или EDR инструмент для карантина затронутой конечной точки или ручные меры реагирования, такие как предоставление инструментов поиска угроз или расследования инцидентов, являются общими элементами NDR.
Как интегрировать отчет о недоставке с другими инструментами безопасности?
Инструменты NDR интегрируются с другими инструментами безопасности через интерфейсы прикладного программирования (API), предоставляемые NDR продавец. Конечно, если вы используете Stellar Cyber's Open XDR Платформа, NDR уже интегрирован в него вместе со следующим поколением SIEM и разведка угроз.
