什么是TDR(威胁检测与响应)

网络安全是被动和主动方法的混合体。过去,企业往往局限于被动的方法,随着合规性和安全策略越来越受到重视,主动方法也越来越受到关注。与其他行业相比,网络安全是高度动态的,网络安全团队采用任何可以帮助他们优化的新技术。

造成这种情况的主要原因之一是攻击者不断更新他们的策略,而网络攻击也在不断发展,为了跟上攻击者的步伐并检测复杂的网络威胁,安全团队需要采用最新技术。

由于威胁检测和响应仍然是任何组织的首要任务,因此了解威胁检测与响应 (TDR) 框架对任何组织都至关重要。

TDR的演变

TDR一直是安全团队的重中之重。传统上,日志聚合器和日志管理工具被广泛用于检测安全威胁,但是,随着正在处理的数据量的增加和威胁的演变,传统解决方案不再能够引入、分析、保留和搜索日志数据。此外,随着云的广泛采用,组织的 IT 基础设施发生了翻天覆地的变化,因此需要全面的安全解决方案来检测和防御攻击。

这种演变促使组织开发内部解决方案来满足其独特的安全要求。但是,内部解决方案是高度资源密集型的,并且在威胁检测和修复方面有其自身的局限性。

随着时间的流逝,这开辟了新的市场空间,TDR解决方案开始出现。目前,TDR有不同的形状和规模,组织可以从市场上可用的一系列不同形式的TDR解决方案中进行选择。

EDR、XDR 和 NDR 的作用

组织的威胁检测和缓解机制因其所处的行业以及组织的规模和地位而异,安全团队需要根据其要求采用适合其组织的正确技术。目前,有几种不同的工具属于威胁检测和响应类别,让我们了解它们中的每一个以及它们之间的区别。

  • 终结点检测和响应 (EDR)
  • 扩展检测和响应 (XDR)
  • 网络检测和响应 (NDR)

终结点检测和响应 (EDR)

端点检测和响应 (EDR) 解决方案可帮助组织监控其端点免受网络威胁,与传统的威胁检测系统相比,EDR 解决方案更侧重于识别和缓解威胁,例如勒索软件、零日漏洞、无文件恶意软件以及专门针对端点解决方案的主动攻击。由于网络威胁的不断发展和组织接受远程工作(员工在任何地方工作,通常是在 BYOD 设置中),EDR 解决方案在网络空间中越来越突出。

扩展检测和响应 (XDR)

大多数组织使用不同的工具来检测和响应其网络中的威胁,但是,管理多个解决方案可能会很麻烦,并可能导致某些重要警报被忽略,这就是扩展检测和响应 (XDR) 解决方案发挥作用的地方。XDR 解决方案被认为是一站式解决方案,通过聚合来自组织中使用的不同安全工具的威胁数据,帮助组织检测和响应整个网络中的威胁。这些解决方案通过提供威胁数据的集中视图和自动化响应机制,使威胁检测和响应变得更加容易。

网络检测和响应 (NDR)

根据 Gartner 的说法,网络检测和响应 (NDR) 产品通过对网络流量数据应用行为分析来检测异常系统行为,NDR 解决方案持续监视网络流量,并确定是否存在任何持续的威胁。此外,这些解决方案使用基于非签名的技术来检测异常网络活动。与用户实体和行为分析 (UEBA) 解决方案的功能类似,NDR 解决方案可识别与以前派生的基线的行为偏差。

上述所有解决方案都属于TDR类别的范畴。现在出现了一个更大的问题 — 安全信息和事件管理 (SIEM) 在所有这些中处于什么位置?

在这里插入图片描述

SIEM将坚守其堡垒

虽然 EDR、XDR 和 NDR 都在继续发展,但 SIEM 仍将在组织的网络安全策略中发挥至关重要的作用。这是因为 SIEM 的范围。虽然 TDR 解决方案有助于分析数据以进行威胁检测和响应,但它们可能无法收集和分析不同网络中的所有事件。此外,SIEM 的安全分析功能(关联、分析)对于组织进行威胁调查和取证分析至关重要。

此外,与 TDR 解决方案相比,SIEM 解决方案具有高度可定制性,这意味着组织可以优化解决方案,以满足组织的特定安全要求。就像UEBA一样,任何TDR解决方案都需要SIEM解决方案的支持才能以最佳水平运行。如果没有 SIEM 解决方案,就很难持续监控网络中发生的事件和事件。

将 TDR 解决方案与 SIEM 解决方案集成有助于改进组织的威胁检测、调查和响应机制。此外,云 SIEM 的增长看起来很有希望,可以帮助监控和保护混合网络。

结束语

虽然威胁检测和缓解仍将是组织的首要任务,但需要注意的是,日志管理和安全分析必须成为其安全策略的基础。对网络的持续监控对于组织了解其当前的安全态势并对其系统进行必要的调整以满足不断变化的安全要求至关重要。为此,拥有灵活且可定制的解决方案非常重要。

有了 SIEM 解决方案,就可以轻松实现这一点,在 SIEM 之上,如果部署了 TDR 解决方案,则安全性会更好,虽然 TDR 解决方案是可以拥有的,但 SIEM 解决方案对于任何想要保持网络领先地位的组织来说都是必备的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/199191.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MinIo 的操作与使用

文章目录 一、Client 连通 官方 API 文档:Documentation 官方中文文档:MinIO中文文档 一、Client 连通 Java 代码: MinioClient minioClient MinioClient.builder().endpoint("http://192.168.110.110:9000").credentials("x…

Redis服务器安装配置

Redis是一种开源的NoSQL内存数据库,用于高性能的数据存储和访问。Redis支持多种数据类型,包括字符串、哈希、列表、集合和有序集合,并且支持分布式存储和操作。Redis的特点包括快速、高可用和易扩展等,适用于各种应用场景。 一、…

leetcode:LCR 122. 路径加密(python3解法)

难度:简单 假定一段路径记作字符串 path,其中以 "." 作为分隔符。现需将路径加密,加密方法为将 path 中的分隔符替换为空格 " ",请返回加密后的字符串。 示例 1: 输入:path "a.a…

ES-环境安装(elasticsearch:7.17.9,kibana,elasticsearch-head)

ES 环境搭建 1 拉取镜像 常用三件套 docker pull kibana:7.17.9 docker pull elasticsearch:7.17.9 docker pull mobz/elasticsearch-head:52 启动镜像 elasticsearch 安装 这里可以先不挂载文件启动一波,然后把容器里的文件拷贝出来 docker run -p 19200:9200 …

机器学习---朴素贝叶斯分类器的实现(对文本进行侮辱性言论和非侮辱性言论的分类)

1. loadDataSet函数 import numpy as np# 构造loadDataSet函数用于生成实验样本 def loadDataSet(): postingList[[my, dog, has, flea, problems, help, please],[maybe, not, take, him, to, dog, park, stupid],[my, dalmation, is, so, cute, I, love, him],[stop, postin…

从零开始学习 JS APL(一):完整指南和实例解析

本章内容主要是按一下来: 操作DOM BOM 比如 控制网页元 素交互等各种网页 交互效果 以下是我总结笔记(仅供参考) webAPL 获取DOM对象 变量声明有三个 var let 和 const 我们应该用那个呢? 首先var 先排除,老派写法…

JOSEF约瑟 同步检查继电器DT-13/200 100V柜内安装,板前接线

系列型号 DT-13/200同步检查继电器; DT-13/160同步检查继电器; DT-13/130同步检查继电器; DT-13/120同步检查继电器; DT-13/90同步检查继电器; DT-13/254同步检查继电器; 同步检查继电器DT-13/200 100V柜内板前接线 一、用途 DT-13型同步检查继电器用于两端供电线路的…

linux系统下农场种菜小游戏!

linux系统下农场种菜小游戏! 今天给大家分享一个linux系统下一个简单的小游戏 源码如下,在linux系统下创建一个.sh的脚本文件,复制粘贴进去即可! #!/bin/bash# 初始化变量 vegetables("生菜" "西兰花" &qu…

SpringBoot启动流程

SpringBoot启动流程 文章目录 SpringBoot启动流程SpringBoot启动流程 SpringBoot启动流程 视频链接: https://www.bilibili.com/video/BV15b4y1a7yG/?p174&spm_id_frompageDriver&vd_sourcef6debc5a79e3f424f9dde2f13891b158 看李老师讲的吧,特…

服务器数据恢复—服务器断电导致XenServer数据文件丢失的数据恢复案例

服务器数据恢复环境: 某品牌720服务器搭配该品牌某型号RAID卡,使用4块STAT硬盘组建了一组RAID10阵列。服务器上部署XenServer虚拟化平台,系统盘 数据盘两个虚拟机磁盘。虚拟机上安装的是Windows Server操作系统,作为Web服务器使用…

虾皮助手:提升Shopee卖家运营效率的必备辅助工具

随着电商市场的快速发展,越来越多的卖家选择在Shopee平台上开设在线商店。然而,随之而来的是更多的竞争和挑战。为了在这个竞争激烈的市场中脱颖而出,卖家们需要寻找一种工具来帮助他们更高效地管理和运营他们的店铺。虾皮助手(Sh…

CSS特效026:扇骨打开关闭的动画

CSS常用示例100专栏目录 本专栏记录的是经常使用的CSS示例与技巧,主要包含CSS布局,CSS特效,CSS花边信息三部分内容。其中CSS布局主要是列出一些常用的CSS布局信息点,CSS特效主要是一些动画示例,CSS花边是描述了一些CSS…

vue创建项目,使用可视化界面安装插件

安装项目: vue create vue-app 选择默认配置就行,也可以按需选择自定义配置 vue ui通过可视化管理项目 通过可视化安装全家桶插件

连接池打满,导致页面夯住

连接池打满,导致页面夯住 1、背景生产环境中访问系统,页面延迟卡顿 2、排产思路 1)、查看日志是排查问题的第一要素(个人认为);查看日志发现使用com.alibaba.druid.pool设置最大连接数为100,已…

【android开发-15】android中广播broadcast用法详解

1,broadcast类型 在Android中,Broadcast是一种用于在应用程序组件之间传递消息的机制。它允许一个组件(发送者)将消息发送给其他组件(接收者),即使它们之间不存在直接的联系。 Android中的Bro…

挑战音频爬虫的技术迷宫:Watir和Ruby的奇妙合作

概述 音频爬虫是一种可以从网站上抓取音频文件的程序。音频爬虫的应用场景很多,比如语音识别、音乐推荐、声纹分析等。然而,音频爬虫也面临着很多技术挑战,比如音频文件的格式、编码、加密、隐藏、动态加载等。如何突破这些技术障碍&#xf…

整数和浮点数在内存中的存储​(大小端详解)

目录 一、整数在内存中的存储 二、大小端字节序和字节序判断 2.1为什么有大小端?​ 2.2请简述大端字节序和小端字节序的概念,设计一个小程序来判断当前机器的字节序。(10分)-百度笔试题 方法一(char*强制类型转换&#xff09…

迅为RK3588开发板定制Ubuntu和Debian系统-系统定制(无法联网)

在上一个小节中讲解了 ubuntu 和 debian 文件系统的定制,但那是在可以运行脚本正常构 建系统的前提下,而本小节则是针对部分特殊用户无法联网的情况。 在 source 目录下存放了已经构建完成的压缩包,如下图所示 然后使用以下命令将该压缩包解…

Hive SQL的各种join总结

说明 Hive join语法有6中连接 inner join(内连接)、left join(左连接)、right join(右连接)、full outer join(全外连接)、left semi join(左半开连接)、cr…

prime靶机打靶记录

靶机下载地址 https://download.vulnhub.com/prime/Prime_Series_Level-1.rar nmap搜索目标 使用nmap -sn 192.168.41.0/24找到目标靶机192.168.41.136 扫描端口,因为是靶机,所以速率直接调了10000 扫出来两个端口22和80,进行详细的扫描 没…