DETECCIÓN Y RESPUESTA EXTENDIDAS
Las amenazas se esconden en nuestro sistema aprovechando los agujeros de seguridad y alerta y se expanden lenta y sigilosamente a través del sistema. Hasta ahora los expertos utilizaban EDR (endpoint detection and response) y NDR, en el caso de EDR es una tecnología que monitoreaba continuamente los “endpoints” (móviles, portátiles, …) para mitigar amenazas. Básicamente se trata de un método para alertar de amenazas y redirigirlas al SIEM (Security Information and Event Management). Por otro lado, NDR monitorea el tráfico de la red.
XDR
La llegada de XDR (Extended detection and response) supone una evolución, EDR está limitado ya que solo puede analizar y responder a amenazas dentro de endpoints gestionados. Del mismo modo, el ámbito de las herramientas de análisis del tráfico de la red está limitado a la red y a los segmentos de la red supervisados. XDR va más allá de este enfoque, recopilando y correlaciona detecciones y datos de actividad profunda en múltiples capas de seguridad: emails, endpoints, servidores, workloads en la nube y en la red. Los análisis automatizados de este superconjunto de valiosos datos detectan las amenazas mucho más rápido. Como consecuencia, los analistas de seguridad están equipados para llevar a cabo un mayor número de acciones y más rápidas mediante investigaciones.
MEJORAR EL SIEM
Las empresas utilizan el SIEM para recopilan una serie de registros y alertas, si bien estas alertas son difíciles de clasificar a modo de priorizar cuales son fundamentales y requieren atención. Gracias a XDR, que recopila datos de actividad profunda y suministra esa información a un “data lake” para lograr un rastreo, búsqueda e investigación extendidas a través de las capas de seguridad. La aplicación de IA y análisis especializados para enriquecer el conjunto de datos produce menos alertas y con más contexto. De esta manera XDR mejora el SIEM reduciendo el tiempo que los analistas de seguridad necesitan para evaluar alertas y registros relevantes y decidir qué es lo que necesita atención y merece mayor investigación.
Publicado el 25 de Noviembre de 2022
Por Francisco Javier García
Departamento de Ciberseguridad