資訊中心管理
AI 助力: XVR 從日常行為掌握到 異常威脅精準判斷
下一篇 - AI 賦能 ITSM: ServiceNow Now Assist 引領 IT 支援流程革新
前往目錄

AI 助力: XVR 從日常行為掌握到 異常威脅精準判斷

撰文 | 叡揚資訊 系統直屬事業處
啄木科技的 Woodpecker XVR 透過結合端點偵測與回應(Endpoint Detect and Respond, EDR)、網路偵測與回應(Network Detect and Respond, NDR)、以及系統日誌(Syslog)資料,實現了一套全方位的拓展偵測與應變(Extended Detection and Respond, XDR)解決方案。

啄木科技的 Woodpecker XVR 透過結合端點偵測與回應(Endpoint Detect and Respond, EDR)、網路偵測與回應(Network Detect and Respond, NDR)、以及系統日誌(Syslog)資料,實現了一套全方位的拓展偵測與應變(Extended Detection and Respond, XDR)解決方案。

XVR 不僅收集並整合了多種大量的日誌數據,形成一個強大的安全資訊和事件管理(Security Information and Event Management, SIEM)系統,還能整合最先進的資安情資,確保任何潛在威脅都能被即時偵測。此外,XVR 借助 AI 技術來進行行為偵測與風險評估,成為資安管理人員強大的偵測和應對工具。

XVR 跨源資料收集、 AI 驅動精準風險評估

資安管理日常的一大挑戰是如何處理海量而複雜的日誌數據。管理人員經常難以快速分辨正常與異常活動,尤其在面對不熟悉的攻擊或偵察行為時,往往無法即時應對。XVR 的 AI 助力能夠學習系統中的日常行為模式,幫助識別異常。例如,某 A 位置持續傳輸特定數量的數據至某 B 位置,這樣的傳輸行為在過去或許難以察覺是否存在風險。如今,透過 XVR 的 AI 模型,系統能夠自動學習並記錄此固定傳輸量的基準,一旦有異常流量,立即觸發警報,為管理人員提供精準的異常提示。

另一個場景是內部電腦使用的頻繁性和登入行為的多樣性。通常,一台設備固定由特定使用者登入,管理人員得以預期該設備會由相同使用者登入,但當有不常見的帳號嘗試登入時,XVR 即能識別該異常行為。在部門共用電腦的情況下,XVR 的 AI 也會根據過去的登入行為進行比對,迅速辨識合法與異常的登入行為。

端點 NAME 自 IP 使用 Account 帳號登入,此帳號使用與過往 XVR 學習情況相比異常。

XVR 還能學習每位使用者的常用登入 時間,從而更細緻地掌握登入異常。例如,對於平常朝九晚五的使用者,若在深夜突然登入,系統即能偵測異常。對於不同的登入行為,XVR 還會持續偵測登入後的操作行為是否異常,並透過多層次的關聯模型,動態調整偵測的精準度。

XVR 利用 AI 持續收集並分析日誌數據,從而動態建立「正常」行為的模型,並且透過不斷更新的學習模型,即時判斷 最新數據的安全性。透過多層次關聯模型再進一步篩選無用警報,從而降低誤報和噪音。在每分每秒的關鍵時刻,XVR 平台幫助管理人員迅速整合威脅資訊,即時阻斷威脅來源,全面提升企業的安全防護能力。