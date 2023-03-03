XDR은 일반적으로 클라우드 기반 또는 SaaS(서비스형 소프트웨어) 솔루션으로 사용됩니다. 업계 분석 기관 중 하나인 Gartner는 XDR을 'SaaS 기반'으로 정의합니다. 또한 클라우드 또는 보안 솔루션 제공업체의 관리형 탐지 및 대응(MDR) 제품을 구동하는 핵심 기술일 수도 있습니다.

XDR 보안 솔루션은 다음을 통합할 수 있습니다.

지속적인 데이터 수집



XDR은 모든 통합 보안 도구로부터 로그 데이터와 텔레메트리를 수집하여 로그인(성공 및 실패), 네트워크 연결 및 트래픽 흐름, 이메일 메시지 및 첨부 파일, 생성 및 저장된 파일, 애플리케이션 및 장치 프로세스, 구성 및 레지스트리 변경 등 인프라에서 발생하는 모든 일에 대해 지속적으로 업데이트되는 기록을 효과적으로 생성합니다. 또한 XDR은 다양한 보안 제품에서 생성된 특정 알림을 수집합니다.

Open XDR 솔루션은 일반적으로 개방형 애플리케이션 프로그래밍 인터페이스(API)를 사용하여 이 데이터를 수집합니다. (네이티브 XDR 솔루션을 사용하려면 디바이스 및 애플리케이션에 설치된 경량 데이터 수집 도구 또는 에이전트가 필요할 수 있습니다.) 수집된 모든 데이터는 정규화되어 중앙 클라우드 기반 데이터베이스 또는 데이터 레이크에 저장됩니다.

실시간 분석 및 위협 탐지



XDR은 고급 분석 및 머신 러닝 알고리즘을 사용하여 알려진 위협이나 의심스러운 활동이 전개되는 동안 이를 나타내는 패턴을 실시간으로 식별합니다.

이를 위해 XDR은 다양한 인프라 계층의 데이터 및 텔레메트리를 위협 인텔리전스 서비스의 데이터와 상호 연관시켜 지속적으로 업데이트되는 최신 정보, 최신 사이버 위협 전술, 벡터 등을 제공합니다. 위협 인텔리전스 서비스는 독점적(XDR 공급자가 운영), 타사 또는 커뮤니티 기반일 수 있습니다. 또한 대부분의 XDR 솔루션은 해커의 사이버 위협 전술 및 기법에 대해 자유롭게 액세스할 수 있는 글로벌 지식 기반인 MITRE ATT&CK에 데이터를 매핑합니다.

XDR 분석 및 머신 러닝 알고리즘은 자체 조사를 수행하여 실시간 데이터를 기록 데이터 및 설정된 기준과 비교하여 의심스러운 활동, 비정상적인 최종 사용자 행동 및 사이버 보안 인시던트 또는 위협을 나타낼 수 있는 모든 것을 식별할 수 있습니다. 또한 '신호' 또는 합법적인 위협을 오탐의 '노이즈'와 분리할 수 있으므로 보안 분석가는 중요한 인시던트에 집중할 수 있습니다. 가장 중요한 것은 머신 러닝 알고리즘이 데이터를 통해 지속적으로 학습하여 시간이 지남에 따라 위협을 더 잘 탐지할 수 있다는 점입니다.

XDR은 솔루션의 사용자 인터페이스(UI) 역할도 하는 중앙 관리 콘솔에 중요한 데이터와 분석 결과를 요약합니다. 보안 팀원은 콘솔에서 전사적으로 모든 보안 문제를 완벽하게 파악하고 확장된 인프라의 어느 곳에서나 조사, 위협 대응 및 해결을 시작할 수 있습니다.



자동화된 탐지 및 대응 기능



자동화는 XDR에서 신속한 대응을 가능하게 합니다. 보안 팀이 미리 정의하거나 머신 러닝 알고리즘에 의해 시간이 지남에 따라 '학습'된 규칙을 기반으로 하는 XDR은 자동화된 대응을 통해 위협 탐지 및 해결 속도를 높이는 동시에 보안 분석가가 더 중요한 업무에 집중할 수 있게 해줍니다. XDR은 다음과 같은 작업을 자동화할 수 있습니다.

심각도에 따라 경고를 분류하고 우선순위를 지정합니다.





영향을 받는 장치의 연결을 끊거나 종료하고, 사용자를 네트워크에서 로그아웃하고, 시스템/애플리케이션/장치 프로세스를 중지하고, 데이터 소스를 오프라인으로 전환합니다.





바이러스 백신/멀웨어 방지 소프트웨어를 실행하여 네트워크의 다른 엔드포인트에서 동일한 위협을 검색합니다.





관련 SOAR 인시던트 대응 플레이북(특정 보안 인시던트에 대응하여 여러 보안 제품을 오케스트레이션하는 자동화된 워크플로)을 트리거합니다.

XDR은 위협 조사 및 해결 작업을 자동화할 수도 있습니다(다음 섹션 참조). 이러한 모든 자동화를 통해 보안팀은 인시던트에 더 빠르게 대응하고 인시던트로 인한 피해를 예방하거나 최소화할 수 있습니다.



위협 조사 및 해결



보안 위협이 격리되면 XDR 플랫폼은 보안 분석가가 위협을 추가로 조사하는 데 사용할 수 있는 기능을 제공합니다. 예를 들어, 포렌식 분석과 '추적' 보고서는 보안 분석가가 위협의 근본 원인을 정확히 찾아내고, 영향을 받은 다양한 파일을 식별하고, 공격자가 네트워크에 진입 및 이동하여 인증 자격 증명에 액세스하거나 기타 악의적인 활동을 수행하도록 만든 취약성을 식별하는 데 도움이 됩니다.

이러한 정보를 바탕으로 분석가는 해결 도구를 조정하여 위협을 제거할 수 있습니다. 해결에는 다음이 포함될 수 있습니다.

악성 파일을 파괴하고 엔드포인트, 서버 및 네트워크 장치에서 삭제합니다.





손상된 장치 및 애플리케이션 구성, 레지스트리 설정, 데이터 및 애플리케이션 파일을 복원합니다.





인시던트를 유발한 취약점을 제거하기 위해 업데이트 또는 패치를 적용합니다.





재발을 방지하기 위해 탐지 규칙을 업데이트합니다.



위협 헌팅 지원

위협 헌팅(사이버 위협 헌팅이라고도 함)은 보안 분석가가 네트워크에서 아직 알려지지 않은 위협 또는 조직의 자동화된 사이버 보안 도구에 의해 아직 감지되거나 해결되지 않은 알려진 위협을 검색하는 사전 예방적 보안 활동입니다.

다시 말하지만, 지능형 위협은 탐지되기까지 몇 달 동안 숨어서 대규모 공격이나 침해에 대비할 수 있습니다. 효과적이고 시기적절한 위협 헌팅은 이러한 위협을 탐지하고 해결하는 데 걸리는 시간을 단축하고 공격으로 인한 피해를 제한하거나 예방할 수 있습니다.

위협 헌터는 XDR이 위협 탐지, 대응 및 해결에 사용하는 것과 동일한 데이터 소스, 분석 및 자동화 기능을 사용하는 다양한 전술과 기술을 사용합니다. 예를 들어, 위협 헌터는 포렌식 분석 또는 특정 공격자의 방법을 설명하는 MITRE ATT&CK 데이터를 기반으로 특정 파일, 구성 변경 또는 기타 아티팩트를 검색할 수 있습니다.

이러한 노력을 지원하기 위해 XDR은 UI 기반 또는 프로그래밍 방식을 통해 보안 분석가가 분석 및 자동화 기능을 사용할 수 있도록 하여 임시 검색, 데이터 쿼리, 위협 인텔리전스와의 상관 관계 및 기타 조사를 수행할 수 있도록 합니다. 일부 XDR 솔루션에는 간단한 스크립팅 언어(일반적인 작업 자동화용) 및 자연어 쿼리 도구와 같은 위협 헌팅을 위해 특별히 제작된 도구가 포함되어 있습니다.