扩展检测和响应 (XDR:Extended Detection and Response) 解决方案旨在帮助组织整合分布式安全技术,更有效地识别和响应活动的威胁。虽然 XDR 是一种新的技术概念,但其构建基础是端点检测和响应 (EDR:Endpoint Detection and Response) 系统,后者旨在持续监控系统活动,识别危险行为,检测攻击要素,以进行调查和响应。但问题在于,在当前的威胁环境中,许多 EDR 解决方案以及相关的同类 XDR 解决方案,仍不足以支撑企业进行自动调查、快速控制和更广泛的响应。
传统甚至所谓的下一代 AV 技术的即时(易出错)安全性,新兴端点检测和响应工具有效但却耗时,为了弥补两者之间的差距,FortiEDR 应运而生。我们的愿景是打造一个基于行为的端点保护、检测、调查和响应系统,该系统不仅能够(准确地)拦截执行前和执行后的大部分攻击(预防和保护双管齐下),而且更重要的是,还会随着时间的推移对可疑行为持续进行评估和分类,同时实现整个流程的自动化。我们充分利用这些原则并将其延伸到了 XDR,着力强化“调查”这一中间环节,而大多数 XDR 解决方案都将该问题推给了安全团队。正因如此,我们才将云原生调查和修复技术运用到了整个 Fortinet Security Fabric 架构或其他第三方工具中。
考虑到大多数现代攻击的速度,自动化在提供有效检测、调查和响应服务方面发挥着至关重要的作用。为了加速和完善自动化过程,我们将目光转向人工智能,目的是自动执行通常由专业 SOC 分析师完成的调查过程,该过程不仅需要高度专业化的技能/工具/流程,而且通常在制定有效的活动威胁响应策略时最为耗时。最终,我们为 FortiEDR 解决方案锁定了一种深度学习技术(一种获得专利的决策控制流程引擎),使用了五个独立但集成的深度神经网络模型,每个模型均可模拟调查和响应过程中的不同方面。
第 1 层获取可疑的端点行为和日志文件,以及调查所需的相关要素。
第 2 层表示提供额外补充信息的调查微服务。
第 3 层结合调查结果为事件生成分类信息。
第 4 层识别及减缓停止攻击与修复工作所需的所有攻击要素。
第 5 层将事件分类和修复要素相结合,打造出一款精心编排的解决方案,从而将端点恢复至安全运营状态。
在 FortiEDR 大获成功之后,我们顺理成章地扩展了这一云原生调查框架,查找端点以外的异常行为,从而在整个 Fortinet Security Fabric 中实现检测和响应自动化。为此,我们扩大了深度学习引擎的训练范围,使其能够进行更多样化的调查并协调各种编排的响应措施。
这种高级 AI 调查引擎是我们全新 FortiXDR 产品的基础。
AI 调查实例
以下是引发 AI 调查的可疑行为的几个典型示例。在许多情况下,这些行为可能已被现有安全控件拦截,并且可能淹没在日志、仪表盘或警报中的其他安全信息中。
登录尝试失败
用户有时会忘记或输错凭证,因此经常会出现重复登录失败。然而,重复登录尝试也可能与暴力攻击有关,需要进一步调查。FortiXDR 可在经过训练后发现 FortiGate防火墙、身份验证工具或受监控端点报告的登录尝试失败。它会检查与登录失败相关的数量和特征以及源 IP 地址,然后将成功连接与身份服务(如 Active Directory)相关联,以检测可疑行程(与时区相关的不一致)等异常。如果根据这种相关性,有理由怀疑攻击者已成功通过暴力攻击识别出凭证,则将激活预定义的响应(从简单通知到凭证到期、强制注销和用户重置等)。
潜在网络钓鱼攻击
电子邮件仍然是黑客首选的攻击方式,Web 攻击紧随其后。攻击只需得逞一次,就可能对组织产生重创。理想情况下,安全团队应该关注每一次电子邮件攻击(包括被拦截的攻击)。但鉴于普通组织每天所遭受的攻击数量,这通常很不现实。而 FortiXDR 能够对每封电子邮件和 Web 安全日志应用扩展分析技术,以识别包含恶意 URL 的日志。然后,系统将能够跟踪这些 URL,分析站点上托管的文件,一直跟踪它们到链接页面,识别针对员工的网络活动的其他元素,然后提取相关要素,例如哈希、IP 地址和行为指标。有了这些信息之后,FortiXDR 将能够搜索表明任何(扩展)网络活动元素对组织产生影响的指标。预定义的响应操作包括隔离装有恶意文件或已与恶意站点通信的设备、更新有关恶意文件和网站的威胁情报等。
恶意设备检测
攻击者常用的另一种攻击方式是渗透到边缘物联网设备。FortiXDR 可提供深度的物联网设备可视性,并关联来自 Fortinet Security Fabric架构中组件的相关数据。此信息可用于检测潜在受感染的物联网设备,并利用部署在整个 Security Fabric 上的工具或第三方工具协调做出相应的响应。举例来说,FortiEDR 代码跟踪技术可以检测与 FortiEDR 监控的端点设备相关的横向移动。然后,通过解析源于 Fabric 的扩展通信,FortiXDR 可以识别活动源,例如网络中的物联网设备。通过与 FortiGate防火墙 数据进一步关联,FortiXDR 可以发现正在访问此物联网设备的具有远程 IP 地址的可疑设备。利用 FortiNAC 网络访问控制,FortiXDR 能够自动将物联网设备与网络隔离,然后全面发出警报。
利用AI调查树立独特的 XDR 解决方案
XDR 概念风头很盛。只可惜,大多数解决方案仅提供前端扩展检测,包括关联、补充和分析安全信息。由于缺乏能够提供关键中间调查环节的网络安全分析师,这些元素即便很重要,也还是不够的。相比之下,专用AI系统可以更快速、更准确地发现和处理事件,从而不仅改善组织的安全状况和运营方式,而且还可以让有限的安全专业人员腾出精力,专注于更高优先级的任务。哪些网络威胁的风险最大?组织哪里最易遭受攻击?如何改进员工行为?哪些投资能够有效增强您的安全态势?
此时不行动,更待何时。化被动为主动,更改安全策略,改善安全局面,尽在FortiXDR。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新
以更低的复杂性提供业内首屈一指的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台
方案适用机型:
机框设备:FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备:FortiGate 6300F\6301F\6500F\6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE
服务区域:
四川 飞塔 Fortinet:成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
更多机型和方案请咨询
成都科汇科技有限公司 — 专业安全服务商。
无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
手机:180 8195 0517(微信同号)