Blog

MDR管理的检测和响应

在这期科技周二节目中, Roger Walton与John Maher谈管理检测和响应(MDR). 他解释了MDR如何保护公司,并谈到了beat365官方app下载手机提供的MDR服务.

bet体育365手机APP下载 · 管理的检测和响应

约翰·马赫: 欢迎来到beat365官方app下载手机为您带来的科技星期二, Portsmouth的托管服务和beat365官方app下载手机提供商, 新汉普郡. 我是John Maher,今天和我一起的是来自beat365官方app下载手机的Roger Walton. 欢迎,罗杰.

罗杰·沃尔顿: Hi, John. 很高兴今天和你们在一起.

什么是管理检测和响应?

John: Thanks. 罗杰,今天我们要讨论的是MDR或管理检测和反应. 什么是管理检测和响应?

Roger: MDR是监视业务IT环境的服务. 它所做的是,寻找潜在beat365官方app下载手机问题的迹象. 然后它会发现一个beat365官方app下载手机问题, 它通过某种形式的补救来响应每个问题,具体取决于问题是什么.

MDR如何检测潜在的网络攻击?

John: Okay. 以及它如何检测潜在的网络攻击?

Roger: 这个系统有几个不同的部分. 其一,IT环境中的许多系统实际上都在记录时间上的事件. 服务器做, 工作站,, 防火墙那样做, 你的Office 365服务可以做到这一点, and so on.

它所做的一件事就是收集和查看这些系统生成的所有日志. 它做的第二件事是, 我们向某些设备添加额外的代理或软件程序, 给服务器,有时给工作站, 他们可以寻找更多的信息. 这就是信息的来源.

然后收集,管理,帮助分析和关联这些信息, 我们用的是SIEM. SIEM表示beat365官方app下载手机信息和事件管理, 这是一个收集所有数据的系统, 帮助组织它, 帮助你在分析中有个好的开始, 有助于将发生在不同部位的相似事件联系起来, 在生态系统中. 这些是我们用来捕捉正在发生的事件的核心.

当MDR检测到威胁时会发生什么?

John: Right. 一旦这种情况发生,MDR检测到威胁,它会如何应对? 下一步是什么?

Roger: 下一步是了解您正在查看的事件类型. 人在某些时候也会参与进来, 因为我们要做的第一件事是确保这不是假阳性, 这不仅仅是一个正在进行的系统的有意升级,我们知道这一切,但beat365官方app下载手机监控系统却不知道. 所以这通常是快速完成的事情之一.

另一件事是,如果信息不能立即获得,系统永远不会等待. 因为网络攻击可能发生得非常快,响应也必须非常快. 假设没有直接的迹象表明这是假阳性, 那就是为了阻止这次袭击.

在某些情况下,有一个进程可以被终止. 在某些情况下,可能会阻塞某个进程. 有时你可以隔离, 如果有一个操作正在一个工作站进行, 你可以隔离它. 所以你不会破坏任何东西, 但你要阻止它感染周围的任何系统. 但如果你不能做到这些, 下一步就是断开设备与网络的连接,直到你完全确定你没有任何危险的事情发生.

所以,一旦你杀死了即时进程,下一步就是遏制. With this, 你要确保你的第一个工作站, 不能突然传播并创造出与其他所有工作站相似的效果吗. 这是第二种情况.

一旦您停止了这个过程, 一旦你控制和保护了你的环境, 现在你可以轻松地呼吸了. 但这项工作只完成了一部分,因为我们还要继续下去,还要进行调查. 我们必须查明问题的根源. 我们的保护措施中是否存在需要解决的弱点. 我们需要对它进行分类以便追踪. 长时间追踪这样的事情,我们需要上报. 这些都是服务为我们做的事情.

处理多药耐药假阳性

John: So, 你提到过如果你在做预定的升级或者类似的事情会得到假阳性. 有没有办法提前告诉管理的检测和响应系统这个时候, 在这个日期, 我们将会做出这些改变? 所以不要回来告诉我们出了什么问题? 或者这只是当你看到MDR的反应时,你会忽略它?

Roger: 是的,我们当然会这么做. 有一个过程叫做白名单, 你指出了可能发生的事情, 你知道会发生什么, 你知道会产生一个假阳性. 但你通常不能确定在每种情况下都做得足够充分. 这就是为什么意识到假阳性是很重要的.

MDR业务是新的吗?

John: MDR服务是最近的创新,还是已经存在一段时间了?

Roger: 目前存在的MDR服务形式是相对较新的, 而是他们正在做的事情, 大型企业至少在过去十年都是这样做的,而非常beat365官方app下载手机敏感的组织在更长的时间内都是这样做的. 但就像所有涉及网络犯罪的事情一样,目标变得越来越小.

然而在过去, 大多数中小型企业不需要太担心,除非他们管理着大量的资金或类似的东西. Now, 因为像勒索软件服务这样的新发展, 相对较小的罪犯可以打击相对较小的组织. 所以现在这就变成了小型组织需要担心的问题他们自己的员工显然不具备这些能力. 他们没有beat365官方app下载手机人员来运行这类服务. 这就是为什么MDR服务已经真正开发出来为较小的组织提供这些功能的原因.

谁需要多药耐药性服务?

John: 那么,谁会在2022年需要多药耐药服务呢? 都是公司吗? 听起来好像过去只有大公司, 但现在可能小公司也需要它. 是这样吗??

Roger: Yeah. So, 如果你是一个人的公司,你有一个工作站, 你真正需要做的是保护工作站. 这不是为你准备的. 但如果你有超过几个工作站, 如果你有一个或多个服务器的数据中心, 然后,您就处于从多个点监视系统的真正有价值的范围内.

部分原因是网络攻击变得更加复杂. 过去,他们总是试图从外部进入系统, 所以你真的很担心保护系统的外围. 所以,除此之外,他们会一次攻击一台工作站或一台服务器. 所以你要担心杀毒软件和终端文本和响应, 哪个是真正在保护一个工作站, 一次一台电脑.

但现在我们看到了更复杂的攻击,犯罪分子将试图采取小步行动, 每个都是独立的, 看起来不寻常. 所以他们会尝试将一个完全无害的文件作为电子邮件附件发送给一个人. 这就引发了所谓的横向攻击, 它们会尝试迁移到环境中的其他地方. 所以如果你每次只在一个工作站看东西, 你会怀念这种攻击的. 正是这种复杂程度使MDR变得至关重要, 即使是在相对较小的环境中.

如何选择MDR业务?

John: Okay. 在选择MDR服务方面, 对于一个公司来说,最重要的考虑因素是什么?

Roger: 有几件事我想提一下. 其一,作为一家小型企业,你没有太多的网络beat365官方app下载手机专业知识. 这不仅仅是检测和阻止特定的攻击. 这是为了确保你的企业在未来得到保护. 当攻击方法和技术随着时间的推移而变化时,您需要了解需要进行的投资.

作为一个小型企业, 你应该找一个将来会成为你导师的人, 而不仅仅是提供商品化的服务, 如果你喜欢. 这是一个. 我想提的另一件绝对重要的事情是,这些服务是7 * 24 * 365运行的, 因为如果网络罪犯休假, 当然不是我们休息的时候. 这是它们最活跃的时间. 以上是几点需要考虑的问题.

beat365官方app下载手机提供哪些MDR服务?

John: 你能具体跟我谈谈beat365官方app下载手机的MDR产品吗以及它和其他MDR产品有什么不同?

Roger: Yeah. 我们的目标是为中小型企业提供全面的服务. beat365官方app下载手机事件监控是其中的核心. 我们谈到了我们用来做这件事的各种技术. 我们也做漏洞扫描. 我们有软件系统,可以定期测试你的防御能力. 我们从内部进行漏洞扫描, 还有外面, 以确保如果有人通过, 这样我们就知道环境中是否有什么东西需要额外的保护.

当事件发生时,我们将引导您进行事件响应. 我们讨论了可能涉及到的所有不同的部分. 我们订阅威胁数据库以便了解最新的威胁, 所以我们并不感到惊讶, 当事情真的发生时,我们知道如何处理它们.

我们维护所有发生的beat365官方app下载手机相关事件的日志,即审计跟踪. 所以如果你突然意识到你丢失了一些信息, 三个星期前, 我们可以看看当时是否遗漏了什么可能与此相关的东西. 另一件非常重要的事情是,每个客户都将有一个高级beat365官方app下载手机工程师, 谁是他们的beat365官方app下载手机顾问.

我们通常做的是, 我们每季度都会和我们的安保客户见面, 经历过去三个月我们所看到的一切. 我们学到了什么? 要么是环境中发生的事情, 我们在这个特定的网络中看到的东西, 也许他们应该采取一些额外的措施, 从过程的角度考虑, 在保护装置方面, 在培训方面. So, 它确实是, 这就像拥有自己的beat365官方app下载手机部门来帮助保护你、你的环境、你的员工和你的企业的beat365官方app下载手机.

John: Yeah. 这听起来真的是一项非常重要的服务. 鉴于网络beat365官方app下载手机的种种风险, 这些网络罪犯就在那里. 就像你说的,追逐越来越小的公司,你不beat365官方app下载手机. 如果你想:“哦,我不是一家大公司. 所以这真的不会影响到我.“它现在真的影响到每个人. 所以它是一个非常重要的工具和服务.

Roger: 你完全正确,约翰. 环境发生了巨大的变化,大多数小企业完全可以忽略这些变化, 他们再也承受不起了. 不幸的是,有很多企业能够证明这一点.

今天联系beat365官方app下载手机谈谈MDR

John: All right. 这真是个好信息,罗杰. 再次感谢你今天和我谈话.

Roger: 是一个快乐.

John: 想要了解更多信息,你可以访问beat365官方app下载手机的网站.Com或拨打(603)431-4121.