选择网络发现和响应解决方案包括多种技术和部门人员。 对于每个公司来说,技术和人员的组合都是高度定制的。 这里有三个不同的传球。
寄宿者。 托管的发现和响应服务从网络收集信息。 例如,组合发现分析来识别异常活动,或者关系分析人员根据预定义的文档调查、确认和执行响应操作。
运营。 具有NDR技术、操作员、响应、恢复和记录保存流程。 这是许多企业的发展之路,但这条路越走越难。
自动化。 第一项技术是自动化。 SOAR和其他方法可以利用预防和检查的控制工具和动作进行集成,通过技术自动进行响应和动作。
请与提供商联系,以确定托管、操作和自动化是否提供最佳服务
部署速度/便利性?
解决方案是否收集和分析了所有数据源?
在运营模式中,资源成本如何影响项目,包括将资源分配给网络安全的机会成本
对于管理模式,提供商如何寻找和维护威胁猎人和分析师?
对于自动化模式,误报的最坏情况是什么?
网络发现和响应解决方案(NDR )可以防止恶意软件以外的威胁,如内部攻击、证书滥用、横向移动和数据泄露。 使用NDR,公司可以更清楚地了解网络的实际情况和发生的活动。 但是,并非所有NDR解决方案都是平等的。 为了实现价值最大化,建议考虑以下三个主要参数
数据—寻找可以分析整个数据包的解决方案,而不仅限于NetFlow或IDS警报。 这样可以提高可见性,使解决方案能够识别更多相关的威胁。
机器学习和AI :主要依赖于未被监视的机器学习,避免使用作为黑匣子的解决方案。 这种产品的误报会产生大量的运用成本,无法向分析师提供解释问题被标记原因的信息。
用例:您是否可以取代现有的网络取证、威胁搜索等解决方案,以减少工具泛滥? 这有助于加强安全运营、现代化和提高安全团队效率。
与其他安全解决方案一样,仅仅获得新的NDR工具不能提高安全性。 根据我的经验,购买者在决定技术堆栈时必须考虑对运营的影响是很重要的。
中文
电话咨询
微信咨询
公众号
