XDR调研
Vendor |
Product |
Data source |
Output of multi-step attacks |
Techniques |
Cisco |
- Cisco Secure Endpoint (former AMP for Endpoints) - Cisco Secure Network Analytics (former Stealthwatch) - Cisco SecureX |
system event logs; network traffic; endpoint data (XDR) |
list based with description; relation graphs (nodes = objects, edges = relations) |
random forests, clustering, neural networks using LSTM, graph based anomaly detection, graph-statistical methods, random graphs, statistical anomaly detection, anomaly correlation, anomaly scoring, self-learning networks, graph link prediction, network zone locking, Gaussian Mixture Model, one-class SVMs, SVM with multiple instance learning, density estimation, class-biased logistic regression, Neyman-Pearson linear models, probabilistic threat propagation. |
Microsoft |
- Azure Sentinel - Azure Security Center - Microsoft Threat Protection |
security logs from network and endpoint (XDR) |
list based; graph based (various representations via Microsoft Graph Security) |
dynamic probability models (self-learning), anomaly detection, distributed correlation, behavioral models (statistics), attack prediction (probabilistic reasoning), alert correlation based on kill-chain, graph LTSM |
Palo Alto Networks |
- Cortex XDR |
security alerts from IPS, network traffic, endpoint data, cloud logs (XDR) |
list based (graph based only at host level) |
supervised ML with deep neural network, word2vec models, Kohonen Self-Organizing Maps, Decision-Tree clustering, time series correlation, behavioral analytics, graph neural network, state transition graph. |
Exabeam |
- Advanced Analytics; - Entity Analytics; - Fusion XDR; |
security logs from network and endpoint , IT manual data, HR manual data (XDR) |
list based |
behavior model per user via PCA, Bayesian network, statistical anomaly detection, aggregate all events in “meta events”, dynamic peer-grouping, patented host-IP-user mapping, user-to-entity affinity measure |
Darktrace |
- Enterprise Immune System |
Network traffic (NDR) |
list based |
clustering (matrix-based, density-based and hierarchical), L1-regularization techniques (the lasso method), recursive Bayesian estimation, peer-grouping, supervised and unsupervised techniques to complement unsupervised algorithms, multivariate anomaly detector, Bayesian system of automatically determining periodicity in multiple time series ("hyper cylinder") |
•思科
Cisco SecureX是XDR产品,有助于检测多步攻击。Stealthwatch(今天命名为“Cisco安全网络分析”)通过分析NetFlow、IPFIX或sFlow记录来检测可疑流量。它采用多种分析技术来检测可疑流量,包括有监督机器学习、无监督机器学习和一些深度学习算法。Stealthwatch应用多层机器学习,包括有监督和无监督,通过“统计异常检测和信任建模”和“事件分类和实体建模”来发现APT[16]
事件分类是由机器学习分类器进行的,其目标是保持90%以上的一致准确率(Neyman-Pearson线性模型、支持向量机多实例学习、神经网络和随机森林)[17]。大多数分类器基于个人行为、群体关系或全局或局部范围内的行为,而其他分类器则非常具体。接下来,随着时间的推移,这些孤立的安全事件与单个端点相关联,并基于动态阈值创建威胁事件。
利用“关系建模”检测多步攻击。在这一阶段,使用了以下技术:概率威胁传播、图统计方法、随机图、监督分类器训练[18]
•微软
Microsoft Threat Protection使用其跨域可见性和内置的自动化功能来检测横向移动。检测横向移动的数据驱动方法涉及对一个攻击链的一部分所观察到的行为进行统计量化,例如,凭证被盗,随后是到其他设备的远程连接,以及进一步的意外或恶意活动。动态概率模型能够利用新信息随时间进行自学习,它量化了在给定相关信号的情况下观察横向运动的可能性。这些模型与异常检测相结合,推动了已知和未知攻击的发现。可以使用基于图形的方法对横向移动的证据进行建模,该方法涉及在正确的时间轴中构造适当的节点和边。绘制攻击图的目的是发现具有足够高置信度的相关子图,以便立即进行进一步的调查。已经建立了能够精确计算概率的行为模型。行为模型是由统计学家和威胁专家共同精心设计的,以结合概率推理和安全性的最佳实践。然后将模糊映射应用到相应的行为,然后估计攻击的可能性。例如,如果有足够的信心认为攻击的相对可能性更高,包括横向运动行为,那么事件是相关联的[21]
Azure安全中心是一个统一的基础设施安全管理系统,可以跨混合工作负载(云和本地)提供高级威胁保护。Azure安全中心通过在云或内部部署中安装日志分析代理,为Windows和Linux服务器保护非Azure服务器和虚拟机。Azure虚拟机是自动配置的。Azure安全中心的威胁保护包括fusion kill chain analysis,它根据网络杀戮链分析自动关联环境中的警报,以帮助您更好地了解攻击活动的完整故事、攻击活动从何处开始以及它对您的资源有何影响[28]
Azure Sentinel是云原生的SIEM和SOAR,它可以从各种来源获取数据[29]。azuresentinel包括先进的调查和分析工具,帮助了解正在发生的事情并采取补救措施。主要技术有:通过azuresentinel事件页面访问事件,使用调查图深入调查,以及使用自动剧本对威胁做出响应。Microsoft Graph Security[30]是这背后的技术之一,第三方可以使用它。目前,微软声称Palo Alto Networks正在产品中使用Microsoft Graph Security API“从应用程序框架访问警报和上下文信息”。azuresentinel还具有“威胁搜索”功能,可以通过以下方式完成:搜索页面、内置Kusto查询语言(KQL)和内置机器学习模块[31]
•Palo Alto Networks
Cortex XDR自动检测主动攻击,允许您在造成伤害之前对威胁进行分类和控制。使用机器学习,Cortex XDR连续分析用户和端点行为,以检测异常活动。它通过对一组集成的数据(包括安全警报和网络、端点和云日志)应用分析来满足检测功能。探测器对MITRE-ATT&CK矩阵的覆盖率超过90%[32]
•Exabeam
Exabeam宣称他们提供了“预先构建的时间表”,可以自动重建安全事件。“智能时间线”模块为分析人员提供了事故调查的新方法,无需事先掌握技术知识。它们还支持“动态对等分组”和获得专利的主机IP用户映射,以填补横向移动检测的日志空白[24]
•Darktrace
Darktrace可以看作是一个纯粹的NDR供应商。企业免疫系统学习每个用户/设备的正常模式以及它们之间的所有复杂关系,而不依赖于固定的基线。通过不断根据新的证据修改其理解,该系统可以发现细微的偏差并检测高级攻击。人工智能通过区分表征网络数据的细微不同的证据水平来解释歧义。他们的算法产生的输出带有不同程度的潜在威胁。这使系统用户能够以严格的方式对警报进行排序,并对最迫切需要采取行动的警报进行优先级排序。Darktrace的核心是通过对设备网络行为的大量不同度量的分析,从数学上描述什么是“正常”行为,包括:服务器访问、数据量、事件计时、凭据使用、连接类型、卷、方向性、文件类型、管理活动,资源和信息请求。为了创建网络中关系的整体图像,Darktrace采用了许多不同的聚类方法,包括基于矩阵的聚类、基于密度的聚类和层次聚类技术。然后,将得到的簇用于为规范行为的建模提供信息。Darktrace基于L1正则化技术(lasso方法),采用大规模计算方法来理解网络连通性模型中的稀疏结构。这使得人工智能能够发现网络中不同元素之间的真实关联,这些关联可以转化为有效可解的凸优化问题,并产生节省的模型。为了将这些数字活动的多重分析结合起来,Darktrace利用了递归贝叶斯估计(RBE)的能力。
Darktrace根据自己对设备行为的理解,将设备分为多个对等组,并使用监督学习来发现违规序列、异常模式,或在更高、更全面的水平上检测异常活动。有监督的机器学习也被Darktrace用来理解更多关于环境的信息,而不需要人类对其进行标记。例如,通过观察数以百万计的不同智能手机,Darktrace越来越快地将新设备识别为智能手机,甚至识别出它是哪种类型的智能手机。Darktrace结合使用有监督和无监督技术来补充其核心的无监督机器学习算法,从而建立有关活动的上下文知识[27]