Технология XDR расширяет видимость и коррелирует данные из тысяч облачных сервисов и конечных точек для аналитиков SOC.
В компании Symantec, входящей в состав Broadcom Software, мы знаем, что если вы работаете аналитиком SOC, вам кажется, что обнаружение угроз и реагирование на них — это бесконечная гонка с огромным количеством сюрпризов за каждым углом. Это происходит потому, что существует слишком много оповещений, которые необходимо отслеживать, и слишком много помех, чтобы прорваться сквозь этот объем. Действительно, недавнее исследование показало, что типичный SOC видит более 11 000 оповещений в день. Еще более сложным является то, что большинство из этих угроз аналитики SOC должны обрабатывать вручную.
С учетом того, что в последнее время сотрудникам приходится работать из любого места, аналитикам SOC требуется лучшая видимость всей среды — от облачных приложений, сети, конечных точек и далее. В то же время им нужен способ понять современные сложные угрозы, которые слишком часто распространяются на различные элементы управления в среде.
Новая технология Symantec Endpoint Security (SES) Complete, Extended Detection and Response (расширенное обнаружение и реагирование), или XDR, является тем решением, которое необходимо аналитикам SOC.
Как ни странно, обнаружение часто осложняется растущим числом инструментов обнаружения угроз, имеющихся в распоряжении SOC. Теперь SOC необходимо отслеживать множество источников и работать с несколькими консолями.
Следовательно, время реагирования на любое предупреждение об угрозе может затянуться, а ранние и критически важные шаги по предотвращению или локализации взлома могут быть затруднены. В результате аналитики SOC сталкиваются с серьезными проблемами. Когда аналитики SOC получают предупреждение от одного продукта, они вынуждены обращаться к консолям множества других продуктов для защиты контрольных точек, чтобы оценить достоверность предупреждения.
Сегодня у аналитиков нет другого выбора, кроме как вручную собирать воедино оповещения от нескольких инструментов. Для создания более эффективной системы безопасности время отклика должно быть быстрее. Время всегда имеет решающее значение. Чтобы выиграть это время, предприятиям необходимо решение, которое расширяет видимость и сопоставляет данные из всех соответствующих источников — облачных и конечных точек, — содержащих сведения о кибератаке или угрозе выкупа.
Решение XDR
Новая технология Symantec Endpoint Security (SES) Complete, Extended Detection and Response (расширенное обнаружение и реагирование), или XDR, — это решение, которое необходимо аналитикам SOC. Хотя единого отраслевого определения XDR не существует, Symantec Endpoint Security XDR сопоставляет данные безопасности по всем точкам контроля и обеспечивает видимость и контекст инцидента с единой консоли.
Сегодня наш SES Complete XDR получает и анализирует данные об угрозах из CASB, CloudSOC, а также решения Symantec по предотвращению потери данных (DLP) и Secure Web Gateway (SWG). Благодаря этим интеграциям наше решение XDR позволяет получить представление об эксфильтрации данных, идентификации, сетевой активности, неуправляемых конечных точках и анализе поведения пользователей (UEBA). Эта функциональность позволяет аналитикам SOC видеть точки сопряжения между угрозами и исследовать те из них, которые кажутся подозрительными. Это значительно помогает аналитикам отсечь шум и сосредоточиться на угрозах, которые могут серьезно повлиять на предприятие. В будущем наш XDR будет автоматически определять приоритеты оповещений и распространять действия по автоматическому реагированию на другие точки контроля.
Расширение видимости, необходимой аналитикам SOC
Symantec XDR расширяет видимость действий пользователей в более чем 40 000 облачных сервисов. Эта видимость выходит за рамки EDR и охватывает действия пользователей с управляемых и неуправляемых конечных точек и сервисов — возможность, которая является критически важной для эффективной безопасности в мире после Covid и работы из дома.
Symantec XDR интегрирует EDR с несколькими решениями в разных точках контроля. В рамках единой консоли собирается телеметрия с рабочих станций, серверов, мобильных телефонов, планшетов, электронной почты, Интернета, сети и облака, а аналитики могут просматривать корреляции и анализ этих данных для получения глубокого понимания.
CloudSOC, брокер безопасности доступа к облаку (CASB) компании Symantec, позволяет командам SOC видеть все виды деятельности, которые они не могли просматривать раньше, например:
• Кому-то не удалось войти в Office 365.
• Пользователь, пытающийся войти в систему из незнакомой страны.
• Пользователь пытается загрузить большое количество конфиденциальных данных.
Кроме того, интеграция XDR с DLP-решением Symantec дает аналитикам SOC информацию о том, является ли эксфильтрация данных частью атаки, и позволяет понять, что происходит в режиме реального времени.
Важно знать, что XDR — это развивающаяся технология, которая доступна бесплатно для текущих клиентов Broadcom, уже имеющих SES Complete и CloudSOC. Клиенты с дополнительными продуктами Symantec, такими как DLP и SWG, получат еще большую видимость. Следите за новыми версиями, которые появятся в ближайшие несколько месяцев, включая важный анонс на
июньской конференции RSA.
Пришло время расширить видимость, сократить сложные ручные процессы и освободить наших аналитиков SOC для более эффективной и результативной работы. XDR предоставляет необходимую помощь.
Источник: https://bit.ly/3OM38go
