从XDR看绿盟智能安全运营平台(ISOP)的“势、道、术”
2021-09-24
绿盟智能安全运营平台(ISOP)
XDR(可扩展威胁检测与响应)近些年来一直是网络安全领域的技术热词,作为Gartner在2020年《Top Security and Risk Management Trends》报告中提到第一项技术和解决方案,XDR因为自动化程度高、检测能力多样等特点受到行业广泛关注。
XDR是什么?
ESG将XDR定义为跨混合IT架构安全产品的集成套件,负责威胁预防、检测和响应等多个安全要素之间的协调和互操作。换句话说,XDR可以把控制点、安全检测、分析与操作整合到统一的管理系统中。
基于XDR,看绿盟智能安全运营平台(ISOP)的“势、道、术”
绿盟智能安全运营平台(ISOP)融合XDR的能力,利用人工智能(AI)进行事件调查响应,以集成、开放的架构设计简化了安全防护工作,通过低成本的安全编排与响应能力降低安全运营复杂性、加快检测速度,协调各个安全组件响应跨整改组织的威胁攻击,在专有界面中提供全面的可视性,从根本上减少威胁驻留时间和人工操作,帮助企业抵御攻击。
1.提供丰富的“跨堆栈”可见性以及从多个异构数据源无缝获取安全要素的能力
绿盟智能安全运营平台(ISOP)可以使用户从任何技术产品或平台实时无缝提取各类安全数据,打破数据孤岛并清除关键盲点,并从可视化面板中查看来自各个产品或平台实时收集的数据情况,包括端点、网络设备和各类安全设备等,可以帮助分析人员从不同类型数据中将安全要素信息聚合到单个攻击“事件”中获得洞察力,还可以为客户提供“中央执行和分析层点”式展示,以实现完整的企业可见性和自主预防、检测和响应,以帮助组织从统一的角度应对网络安全挑战。
2.提供基于ATT&CK链式威胁检测,通过集成的威胁情报自动丰富威胁面
绿盟智能安全运营平台(ISOP)借助端点数据采集,按照场景化检测,明确当前所处的攻击活动阶段,并采用智能决策推理,实现向上推理,完成ATT&CK知识和攻击模式映射,指导安全人员发现安全问题。
绿盟智能安全运营平台(ISOP)集成了绿盟威胁情报NTI,用于检测和丰富威胁语境,可以帮助安全团队获得关于攻击IOC的额外上下文风险信息,如攻击IP、漏洞、MD5、URL等各类安全情报信息。用户也可以利用云端的NTI情报自行搜索查询,获取新的IOC和战术、技术等信息。
3.通过开放灵活的SOAR能力,有效应对各类安全场景事件闭环保障
绿盟智能安全运营平台(ISOP)的SOAR能力强调快速响应和解放人力,传统的安全事件分析响应将近3小时左右,通过SOAR 能力3分钟即可完成封堵和通报等响应任务。系统内置了主流运营场景的案例集,对于经验反馈可以固化事件处理流程,可以进行据本化自动化处置响应。针对各类应急事件,实现自动化封堵,自动化完成检测、通报、处置,保障事件快速响应。
XDR重点关注威胁检测和响应,通过其可以打破壁垒,将安全产品天然融合在一起,产生1+1>2的效果。绿盟智能安全运营平台(ISOP)的XDR能力不仅局限于上述3项场景能力,还包括攻击链可视、上下文关联分析、威胁狩猎、追踪溯源、实现跨不同域自动化响应等。在提升安全运营的效率,增强检测和响应能力的同时,绿盟智能安全运营平台(ISOP)的XDR能力还能降低安全运营的复杂度,减少安全运营的对接成本和使用成本,通过集成安全产品开箱即用的方式实现安全能力的统一协调与配合。