解決歧義是網絡安全不可否認的一部分。隨著網絡攻擊者不斷改變策略，安全團隊必須不斷適應以抵御新威脅。這包括檢查新出現的問題，就如何最好地解決這些問題建立假設，以及實施早期檢測策略。Fortinet FortiNDR with FortiNDR Cloud 既是此類努力的結晶，也是企業為應對低速和慢速攻擊創造公平競爭環境的開端。它可以作為基于云、Guided-SaaS 或內部部署的方式交付，并為安全運營團隊當今面臨的五個關鍵問題提供解決方案，包括：

一、延長攻擊者停留時間

十多年來，對手的停留時間一直遠遠超出可接受的范圍。據IBM稱，2022 年平均需要 277 天才能發現并遏制違規行為。這為攻擊者在入侵后提供了充足的機會來查找和竊取組織最敏感的數據，通常是為了勒索贖金。

安全團隊經常求助于網絡檢測和響應 (NDR) 來解決這個問題，因為 NDR 通常通過分析網絡元數據來補充EDR和SIEM工具，以提供圍繞網絡活動急需的上下文。元數據可以提供任何給定網絡事務的用戶名、主機名、域和狀態等信息。NDR 將元數據與人工智能 (AI) 和機器學習 (ML) 相結合，讓 SOC 團隊能夠快速分析大量數據。如 SUNBURST 事件所示，還建議安全運營團隊將數據保留 9 到 12 個月，以準確識別初始訪問并了解違規的全部范圍。

在當今時代，磁盤存儲和云基礎設施使我們能夠智能地保留數據，那么為什么 NDR 工具仍然只保留這么短的時間？FortiNDR 通過提供長達 365 天的豐富網絡元數據打破常規，因此安全團隊有更多數據進行深入分析，解決當今高級攻擊者表現出的延長駐留時間問題。

二、NDR中缺少“R”

當然，從豐富的元數據中進行初步檢測只是一個開始。盡管在安全技術上的支出創歷史新高，但52% 的 SOC 分析師表示 需要訪問更多開箱即用的內容（例如劇本和規則）以緩解常見的痛點，因為他們在威脅調查上花費的時間越來越多，同時復雜性、警報疲勞和工作量增加。大多數 NDR 解決方案通常遵從其他工具來執行檢測分類、搜尋或調查，因為它們缺乏內置的開箱即用功能。

指導手冊和規則等開箱即用的內容應該能讓 SOC 團隊的工作更加輕松。例如，FortiNDR 指導手冊可幫助調查人員根據真實世界的行為采取正確的步驟來識別攻擊者。調查人員可以簡單地選擇“Log4j Hunting”劇本，并使用包含最新威脅情報和檢測的預構建查詢立即創建調查。FortiGuard Applied Threat Research 根據最近的攻擊者策略不斷更新、維護和創建新的劇本，以確保劇本與最新的威脅檢測功能保持同步。

FortiNDR 由高級威脅研究人員開發和構建，結合 AI/ML 觸發事件，提供豐富的分類、搜索和調查工具，可加快檢測和響應速度。實體和分面搜索、基于多個事件關聯的觀察以及 MITRE ATT&CK 映射等功能可幫助安全團隊更快、更全面地響應威脅。

三、專業知識有限

第三個挑戰源于全球網絡安全技能缺口和人才短缺。雖然安全團隊正在與時間賽跑以保護他們的組織，但他們并不總是具備如何抵御最新網絡策略和技術的技能、時間或知識。FortiNDR 通過用虛擬或面對面的專業知識補充 AI/ML 分析功能來支持面臨技能差距挑戰的安全團隊，以確保他們最有能力檢測和阻止復雜的攻擊。

由虛擬安全分析師 (VSA) 提供的虛擬專業知識分析和調查新出現的攻擊，而現場專業知識則由技術成功經理 (TSM) 團隊提供，他們回答有關調查結果、調整配置和優化的問題部署。此外，FortiNDR 由高級威脅研究人員維護，他們管理機器學習模型并為推薦的調查提供開箱即用的劇本。

四、合作調查

雖然安全團隊受益于使用針對保留的豐富網絡元數據的高級查詢來調查和尋找威脅的能力，但他們可以通過并行運行查詢并允許全球 SOC 成員共同分析結果來進一步加快響應速度。

具有并行搜尋功能的 FortiNDR 使安全專業人員能夠協調其全球 SOC 團隊的威脅搜尋和調查工作。例如，位于美國的 SOC 分析師可以創建調查，而歐洲的同事可以同時復制該調查并更改或添加變量和查詢。這些結果通過 UI 共享，每個分析師都可以在 UI 中根據自己的評估繼續調整和擴展調查結果。這是一種其他 NDR 供應商無法比擬的協作調查方法。

五、孤立的方法增加了復雜性

鑒于許多組織的復雜、多供應商安全基礎設施，大多數安全團隊發現很難快速、全面地響應網絡攻擊，即使在確定攻擊后也是如此。要降低這種復雜性，整合和集成是關鍵。

FortiNDR 產品與Fortinet Security Fabric的多個組件和第三方解決方案無縫集成，利用 AI 和 ML 的強大功能來改進威脅的檢測、響應和遏制。FortiNDR 與 FortiGate 集成，在啟動 FortiGate 上的內部 IP 塊時發出異常活動警報。此外，FortiNDR 攝取文件穿越防火墻進行深度學習分析，以防止用戶下載惡意組件。此外，FortiNDR 與FortiSOAR集成，以實現協調的跨產品響應和更快的修復。

成功部署 NDR 的注意事項

這五個挑戰只是安全專業人員每天面臨的幾個例子，但在購買 NDR 解決方案時，還有一些額外的注意事項：

1. 云環境的可見性：NDR 的強大功能是提供跨網絡的可見性和 AI/ML 分析，而不管底層基礎設施如何。您的解決方案應該能夠分析公共云和私有云以及 IoT/OT 環境中的網絡流量。供應商應支持這些環境的任何配置，并為您的安全團隊提供工具來調查和響應混合網絡中的惡意行為。

2. AI/ML 不是唯一的答案：雖然 AI/ML 功能是 NDR 吸引力的重要組成部分，但僅依賴 AI/ML 的工具往往會產生白噪聲。NDR 供應商應在其 AI/ML 方法與人工和實用分析之間取得平衡，以幫助減少誤報。

3. 降低復雜性的集成：NDR 通常用作 EDR 和 SIEM 的補充技術，應該與這些解決方案雙向共享檢測和觀察結果，從而實現對已知和未知網絡威脅的早期檢測和協調響應。