XDR’ı anlamak, konuşabilmek ve yönetebilmek için öncelikle ihtiyaç alanına ve konseptinden bahsetmek gerekir.
Hızlı giriş: Nedir?
Güvenlik ürünleri kullanıldığında alanına yönelik gereksinim karşılanıyor. Bekletimiz eğer kimlik güvenliği ise kimlik doğrulamayı sağlayacak güvenlik yazılımı olacaktır.
Özetle; Alanına göre oluşturulmuş güvenlik yazılımlarının temelde hedefi (istenilen) sistemde zararlı işlem/servis çalışmasını engellemektir.
Kullanılan teknoloji ve method sizin kullanabileceğiniz güvenlik yazılımlarının tipini belirler.
XDR’dan önce EDR
EDR (Endpoint Detection and Response – Uç nokta Tehdit Algılama ve Yanıt) kullanıcılara bulaşan zararlıları tespit ve bu tespitler sonucunda zararlıdan korunmayı hedefler.
EDR ile tüm aktiviteler takip edilir. Üretici ve güvenlik analistinin deneyimiyle kurallar belirlenir. Bu kurallar sayesinde kullanılan yazılımın kapasitesiyle doğru orantılı olarak “R – Response” süreci başlatılır. Nihaiyi istek; son kullanıcının zarar görmemesini sağlamaktır.
XDR nerede başlıyor?
EDR’ın genişletilmiş haline XDR diyebiliriz.
Özetle; Ne kadar çok yerden veri alabiliyor ve işleyip “R – Reponse” yanıt verebilirsa o kadar XDR olabiliyor.
Beklentiler nedir?
Gerçek zamanlı olayları toplar.
Kapsamlı filtreleme sağlar.
Tüm detayları gösterir.
Üreticiye ait itibar(reputation) sınıflandırması vardır.
Engelleme ve izolasyon yapar.
Örnek
NANOCORE Rat için EDR örüntüsü;
Sıkça duyulan soru “Kim, nereden ve nasıl bulaştırdı?” sorununa en iyi şekilde cevap vererek, kurum içinde tüm olan bitenler böylelikle kontrol altına alınmış olur. Özel grupların hedefinde olduğu düşünülüyorsa da MITRE ATT&CK® gibi kütüphaneyle entegre olduklarından dolayı, hangi grupların saldırısına maruz kalınabileceği bilgisi de elde edilip, tahmin sonucu daraltılır.