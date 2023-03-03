La XDR se consume normalmente como una solución basada en la nube o de software como servicio (SaaS); un analista del sector, Gartner, define el XDR como "basado en SaaS". También puede ser la tecnología central que impulsa la oferta de detección y respuesta gestionada (MDR) de un proveedor de soluciones de seguridad o en la nube.

Las soluciones de seguridad XDR pueden integrar:

Recopilación continua de datos



La XDR recopila datos de registro y telemetría de todas las herramientas de seguridad integradas, creando así un registro continuamente actualizado de todo lo que ocurre en la infraestructura: inicios de sesión (con éxito y sin éxito), conexiones de red y flujos de tráfico, mensajes de correo electrónico y archivos adjuntos, archivos creados y guardados, procesos de aplicaciones y dispositivos, y cambios en la configuración y el registro. La XDR también recoge las alertas específicas generadas por los distintos productos de seguridad.

Las soluciones abiertas de XDR suelen recopilar estos datos mediante una interfaz de programación de aplicaciones abierta o API. (Las soluciones XDR nativas pueden requerir la instalación de una herramienta o agente de recopilación de datos ligera en los dispositivos y las aplicaciones). Todos los datos recopilados se normalizan y almacenan en una base de datos central basada en la nube o lago de datos.

Análisis y detección de amenazas en tiempo real



XDR utiliza algoritmos avanzados de análisis y machine learning para identificar patrones que indican amenazas conocidas o actividad sospechosa en tiempo real, a medida que se desarrollan.

Para hacer esto, XDR correlaciona los datos y la telemetría en las distintas capas de infraestructura con datos de los servicios de inteligencia de amenazas , que brindan información continuamente actualizada, nuevas y recientes tácticas de ciberamenazas, vectores y más. Los servicios de inteligencia sobre amenazas pueden ser propios (operados por el proveedor de XDR), de terceros o basados en la comunidad. La mayoría de las soluciones XDR también asignan datos a MITRE ATT&CK, una base de conocimiento global de libre acceso sobre las tácticas y técnicas de ciberamenazas de los hackers.

Los análisis XDR y los algoritmos de machine learning también pueden hacer su propia investigación al comparar datos en tiempo real con datos históricos y líneas de base establecidas para identificar actividades sospechosas, comportamientos aberrantes del usuario final y cualquier cosa que pueda indicar un incidente o amenaza de ciberseguridad. También pueden separar las "señales" o amenazas legítimas del "ruido" de los falsos positivos para que los analistas de seguridad puedan centrarse en los incidentes importantes. Quizás lo más importante es que los algoritmos de machine learning aprenden continuamente de los datos para mejorar la detección de amenazas con el tiempo.

La XDR resume los datos importantes y los resultados analíticos en una consola de gestión central que también sirve como interfaz de usuario (UI) de la solución. Desde la consola, los miembros del equipo de seguridad pueden tener una visibilidad total de todos los problemas de seguridad en toda la empresa e iniciar investigaciones, respuestas a las amenazas y soluciones en cualquier parte de la infraestructura ampliada.



Capacidades de detección y respuesta automatizadas



La automatización es lo que pone la respuesta rápida en XDR. Basándose en reglas predefinidas por el equipo de seguridad, o "aprendidas" con el tiempo por algoritmos de machine learning, XDR permite respuestas automatizadas que ayudan a acelerar la detección y resolución de amenazas, al tiempo que libera a los analistas de seguridad para que se centren en tareas más importantes. XDR puede automatizar tareas como:

Clasificación y priorización de las alertas según su gravedad;





Desconectar o apagar los dispositivos afectados, desconectar a los usuarios de la red, detener los procesos del sistema, la aplicación o el dispositivo y desconectar las fuentes de datos;





Lanzamiento de software antivirus/antimalware para analizar otros endpoints de la red en busca de la misma amenaza;





Activar las guías de estrategias de respuesta a los incidentes de SOAR pertinentes (flujos de trabajo automatizados que orquestan varios productos de seguridad en respuesta a un incidente de seguridad específico).

La XDR también puede automatizar las actividades de investigación y corrección de amenazas (consulte la siguiente sección). Toda esta automatización ayuda a los equipos de seguridad a responder más rápido a los incidentes y prevenir o minimizar los daños que causan.



Investigación y corrección de amenazas



Una vez que se aísla una amenaza de seguridad, las plataformas XDR proporcionan funciones que los analistas de seguridad pueden utilizar para investigar más a fondo la amenaza. Por ejemplo, los análisis forenses y los informes de "rastreo" ayudan a los analistas de seguridad a determinar la causa raíz de una amenaza, identificar los distintos archivos a los que afectó e identificar la vulnerabilidad o vulnerabilidades que el atacante aprovechó para entrar y moverse por la red, obtener acceso a credenciales de autenticación o realizar otras actividades maliciosas.

Con esta información, los analistas pueden coordinar las herramientas de corrección para eliminar la amenaza. La corrección puede implicar lo siguiente:

Destruir archivos maliciosos y borrarlos de los endpoints, servidores y dispositivos de red;





Restaurar configuraciones de aplicaciones y dispositivos dañados, configuraciones de registro, datos y archivos de aplicaciones;





Aplicar actualizaciones o parches para eliminar las vulnerabilidades que provocaron el incidente;





Actualizar las reglas de detección para evitar que se repita.



Compatibilidad con la búsqueda de amenazas



La búsqueda de amenazas (también llamada búsqueda de ciberamenazas) es un ejercicio de seguridad proactivo en el que un analista de seguridad busca en la red amenazas aún desconocidas o amenazas conocidas que aún no han sido detectadas o corregidas por las herramientas de ciberseguridad automatizadas de la organización.



Una vez más, las amenazas avanzadas pueden acechar durante meses antes de ser detectadas mientras se preparan para un ataque o una brecha a gran escala. La búsqueda de amenazas eficaz y oportuna puede reducir el tiempo que se tarda en encontrar y corregir estas amenazas, lo que puede limitar o prevenir los daños del ataque.

Los buscadores de amenazas utilizan una variedad de tácticas y técnicas que se basan en las mismas fuentes de datos, análisis y capacidades de automatización que utiliza XDR para la detección, respuesta y corrección de amenazas. Por ejemplo, un cazador de amenazas puede querer encontrar un archivo concreto, un cambio de configuración u otro artefacto basándose en análisis forenses o en datos de MITRE ATT&CK que describan los métodos de un atacante concreto.

Para apoyar estos esfuerzos, XDR pone sus capacidades de análisis y automatización a disposición de los analistas de seguridad a través de la interfaz de usuario o por medios programáticos, para que puedan realizar búsquedas ad hoc consultas de datos, correlaciones con la inteligencia de amenazas y otras investigaciones. Algunas soluciones XDR incluyen herramientas creadas específicamente para la búsqueda de amenazas, como lenguajes de scripting sencillos (para automatizar tareas comunes) e incluso herramientas de consulta en lenguaje natural.