TDIR框架的演變和分類 - 網安 - 專業的網絡安全產業、社區、知識平臺

網絡安全是被動和主動方法的混合體。過去，企業往往局限于被動的方法。隨著合規性和安全策略越來越突出，主動方法也受到關注。與其他行業相比，網絡安全是高度動態的，網絡安全團隊采用任何可以幫助他們優化的新技術。

其中一個主要原因是攻擊者不斷更新他們的策略，網絡攻擊也在不斷發展。為了跟上攻擊者的步伐并檢測復雜的網絡威脅，安全團隊需要擁有最新的技術。

由于威脅檢測和響應仍然是企業組織的重中之重，因此了解 TDIR 框架至關重要。本文討論了 TDIR 框架的演變，屬于 TDIR 范圍的不同概念及其獨特特征。

TDIR的演變

威脅檢測和事件響應（TDIR）一直是安全團隊的首要任務。傳統上，日志聚合器和日志管理工具廣泛用于檢測安全威脅。但是，隨著處理的數據量的增加和威脅的演變，舊的解決方案不再能夠引入、分析、保留和搜索日志數據。此外，隨著云的廣泛采用，企業的IT基礎架構發生了巨大變化，因此需要全面的安全解決方案來檢測和防御攻擊。

這種演變促使企業開發內部解決方案以滿足其獨特的安全要求。但是，內部解決方案是高度資源密集型的，并且在威脅檢測和修復方面有其自身的局限性。

隨著時間的推移，這開辟了新的市場空間，TDIR解決方案開始出現。目前，TDIR有不同的形狀和規模，企業可以從市場上可用的一系列不同形式的TDIR解決方案中進行選擇。

EDR、XDR 和 NDR在哪里發揮作用？

企業的威脅檢測和緩解機制因企業所在的行業以及企業的規模和地位而異。例如，小型金融機構可能不需要復雜的網絡防御機制。但是，對于銀行來說，情況并非如此。

安全團隊需要根據自己的要求采用適合其企業的正確技術。目前，有幾種不同的威脅檢測和響應工具。

端點檢測和響應

與傳統的威脅檢測系統相比，EDR 解決方案更側重于識別和緩解威脅，例如勒索軟件、零日漏洞、惡意軟件和專門針對端點解決方案的主動攻擊。由于網絡威脅不斷演變，企業采用遠程工作（員工在任何地方工作，通常是在 BYOD 設置中），EDR 解決方案在網絡空間中越來越突出。

擴展檢測和響應

大多數企業使用不同的工具來檢測和響應其網絡中的威脅。但是，管理多個解決方案可能會很麻煩，并可能導致忽略某些重要警報。這就是擴展檢測和響應（XDR）解決方案發揮作用的地方。XDR 解決方案被認為是一站式解決方案，通過聚合來自企業中使用的不同安全工具的威脅數據，幫助企業檢測和響應整個網絡中的威脅。這些解決方案通過提供威脅數據的集中視圖和自動化響應機制，使威脅檢測和響應更加容易。

網絡檢測和響應

據Gartner稱，網絡檢測和響應（NDR）產品通過將行為分析應用于網絡流量數據來檢測異常系統行為。NDR 解決方案持續監視網絡通信量并確定是否存在任何持續威脅。此外，這些解決方案使用非基于簽名的技術來檢測異常網絡活動。與用戶實體和行為分析（UEBA）解決方案的作用類似，NDR 解決方案可識別與以前派生的基線的行為偏差。

上述所有解決方案都屬于TDIR類別的范圍。現在出現了一個更大的問題——安全信息和事件管理（SIEM）在所有這些中處于什么位置？

SIEM將堅守其堡壘

雖然 EDR、XDR 和 NDR 都在不斷發展，但 SIEM 仍將在企業的網絡安全策略中發揮重要作用。這是因為SIEM的范圍。雖然 TDIR 解決方案有助于分析數據以進行威脅檢測和響應，但它們可能無法收集和分析不同網絡中的所有事件。此外，SIEM 的安全分析功能（關聯、分析）對于企業進行威脅調查和取證分析至關重要。

此外，與TDIR解決方案相比，SIEM解決方案是高度可定制的，這意味著企業可以優化解決方案，使其滿足企業的特定安全要求。就像UEBA一樣，任何TDIR解決方案都需要SIEM解決方案的支持才能以最佳水平運行。如果沒有 SIEM 解決方案，就很難連續監控網絡中發生的事件和事件。

將 TDIR 解決方案與 SIEM 解決方案集成有助于改進企業的威脅檢測、調查和響應機制。更重要的是，云SIEM增長快速，可以幫助監控和保護混合網絡。

雖然威脅檢測和緩解仍將是企業的首要任務，但日志管理和安全分析必須是其安全策略的基礎。對網絡的持續監控幫助企業了解其當前的安全狀況，以便對其系統進行必要的調整以滿足不斷變化的安全要求。為此，擁有一個靈活且可定制的解決方案非常重要。

有了 SIEM 解決方案，可以輕松實現這一點。在 SIEM 之上，如果部署了 TDIR 解決方案，則會提高安全性。雖然TDIR解決方案是可以的，但SIEM解決方案對于任何想要保持網絡領先地位的企業來說都是必備的。

關于ManageEngine

ManageEngine 是 Zoho Corporation 的企業 IT 管理部門。老牌企業和新興企業（包括每 10 家財富 100 強企業中的 9 家）依靠 ManageEngine 的實時 IT 管理工具來確保其 IT 基礎設施（包括網絡、服務器、應用程序、端點等）的最佳性能。 ManageEngine 在全球設有辦事處，包括美國、阿拉伯聯合酋長國、荷蘭、印度、哥倫比亞、墨西哥、巴西、新加坡、日本、中國和澳大利亞，以及 200 多個全球合作伙伴，幫助組織將業務與 IT 緊密結合。欲了解更多信息，請訪問manageengine.cn，關注公司微信公眾號ManageEngine 并進行聯系。