Bosh sahifa Wiki XDR

XDR

XDRendpoint, network, email, identity, cloud va boshqa xavfsizlik qatlamlaridagi signal hamda telemetryni birlashtirib, kengroq detection va response imkonini beradigan platforma. To‘liq nomi Extended Detection and Response.

XDRning maqsadi bir xil hujumning turli tizimlarda paydo bo‘ladigan izlarini yagona incident va timeline ichida ko‘rsatishdir.

Kengaytirilgan ko‘rinish

Hujum faqat endpointda ko‘rinmasligi mumkin.

Masalan:

phishing email
→ credential theft
→ cloud login
→ endpointga file yuklash
→ ichki serverga ulanish

Bu zanjir email, identity, cloud, endpoint va network loglarida alohida signal beradi.

XDR ularni bitta hodisa sifatida bog‘lashga intiladi.

Data manbalari

XDR quyidagi manbalardan ma’lumot olishi mumkin:

Aniq integratsiyalar platformaga bog‘liq.

Native XDR

Native XDR bir vendor ekotizimidagi mahsulotlar bilan chuqur integratsiya qilinadi.

Afzalligi:

Kamchiligi — vendor ekotizimiga kuchli bog‘lanish va boshqa mahsulotlar bilan cheklangan moslik.

Open XDR

Open XDR turli vendor vositalaridan data va actionlarni birlashtirishga intiladi.

U API, connector va umumiy schema’dan foydalanadi.

Afzalligi — mavjud security stackni saqlash.

Kamchiligi — data sifati, mapping va response imkoniyati integration darajasiga bog‘liq.

Normalization

Har manba eventni boshqa formatda yozadi.

XDR:

kabi maydonlarni umumiy modelga map qiladi.

Normalization bo‘lmasa correlation faqat vendor-specific querylarga tayanadi.

Entity

XDR eventlarni entity atrofida birlashtiradi.

Entity misollari:

Bir userning email, login va endpoint hodisalari bitta entity graph’da ko‘rsatilishi mumkin.

Correlation

XDR bir nechta past darajadagi signalni bitta yuqori ishonchli incidentga birlashtiradi.

Masalan:

Har bir signal alohida false positive bo‘lishi mumkin, kombinatsiya esa kuchliroq dalil beradi.

Analytics

XDR analytics quyidagilarga tayanishi mumkin:

  • qoidalar;
  • ketma-ketlik;
  • behavior baseline;
  • anomaly;
  • threat intelligence;
  • entity relationship;
  • risk score;
  • machine-learning modeli.

Model qarori explainable evidence bilan ko‘rsatilishi muhim.

Incident timeline

XDR incident ichida hodisalarni vaqt bo‘yicha tartiblaydi.

Timeline:

ni ko‘rsatadi.

Bu analystga alohida console’larda manual qidiruvni kamaytiradi.

Automated response

XDR turli control’larda action bajarishi mumkin:

Actionlar permission va playbook bilan boshqariladi.

Identity response

Credential theft holatida endpointni izolyatsiya qilish yetarli emas.

XDR identity provider orqali:

  • active sessionlarni bekor qilish;
  • password reset talab qilish;
  • MFA riskini oshirish;
  • accountni disable qilish

kabi amallarni bajarishi mumkin.

Bu cross-domain responsening asosiy misoli.

XDR va EDR

EDR endpointga chuqur yo‘naltiriladi.

XDR esa endpointni boshqa qatlamlar bilan kengaytiradi.

Ko‘p XDR platformalarining asosida EDR telemetrysi turadi.

EDRsiz ham XDRga o‘xshash correlation mumkin, ammo endpoint visibility kamayadi.

XDR va SIEM

SIEM keng turdagi loglarni saqlash, query va custom correlation uchun universal platforma.

XDR ko‘proq tayyor security analytics va response workflow’ga yo‘naltiriladi.

Amaliy muhitda ikkalasi birga ishlashi mumkin:

XDR → tez detection va response
SIEM → keng log, compliance va custom use case

Data retention

XDR incident va hunting uchun ma’lum muddat telemetry saqlaydi.

Retention manbalar bo‘yicha farq qilishi mumkin.

Masalan, endpoint process data chuqur, email metadata uzoqroq, full network packet esa qisqaroq saqlanishi mumkin.

Integration sifati

Connector mavjudligi chuqur integrationni kafolatlamaydi.

Baholanadi:

  • qaysi fieldlar olinadi;
  • real-time yoki kechikkan;
  • response action mavjudmi;
  • entity mapping;
  • API quota;
  • error handling;
  • tenant support.

Faqat alert nomini uzatish to‘liq XDR correlation bermaydi.

False positive

Ko‘p manba correlation false positive’ni kamaytirishi mumkin.

Biroq noto‘g‘ri entity mapping bir user hodisasini boshqasiga bog‘lab qo‘yishi mumkin.

Hostname reuse, shared IP va duplicate accountlar tahlilda hisobga olinadi.

Risk scoring

XDR entity va incidentga risk score berishi mumkin. Score alert severity, asset criticality, user privilege, exploit indicatori va hodisalar ketma-ketligidan tuziladi. Bitta past darajadagi signal administrator accounti va critical server bilan bog‘lansa yuqoriroq prioritet olishi mumkin. Score qaysi dalillarga asoslanganini analyst ko‘ra olishi muhim.

Cross-domain hunting

Threat hunting faqat endpoint querysi bilan cheklanmaydi. Analyst ma’lum domainni email, DNS, proxy va endpoint manbalarida bir vaqtda qidiradi. Bu attacker qaysi kanal orqali kirgani va qaysi identity hamda qurilmalar ta’sirlanganini ko‘rsatadi.

Data ownership

XDRga kelgan telemetry asl manba va retention siyosati bilan bog‘lanadi. Email, identity va endpoint ma’lumotlari turli jamoalarga tegishli bo‘lishi mumkin. Analyst accessi tenant, rol va investigation vazifasi bo‘yicha cheklanadi.

Bog‘liq tushunchalar

Extended Detection and Response, EDR, SIEM, Security analytics, Entity correlation, Incident timeline, Identity security, Network detection, Automated response