Considere que um Analista do Tribunal Regional do Trabalho foi solicitado a responder as seguintes perguntas: O que é XDR?
Como o XDR difere do EDR? XDR é o mesmo que SIEM e SOAR? O Analista explicou que, no contexto do Tribunal Regional do
Trabalho, essa ferramenta:
I. Coletaria, agregaria, analisaria e armazenaria grandes volumes de dados de log de todo o Tribunal. Embora capturasse
dados de dezenas de fontes e sensores, ainda seria uma ferramenta analítica passiva que emitiria alertas. Outra
plataforma resolveria os desafios desta ferramenta para detecção e resposta eficazes a ataques direcionados, incluindo
análise de comportamento e inteligência de ameaças.
II. Ampliaria o escopo de detecção além dos endpoints, fornecendo detecção, análise e resposta em endpoints, redes,
servidores, cloud workloads etc. A ferramenta coletaria e correlacionaria automaticamente dados em vários security
vectors, agilizando a detecção de ameaças para que os analistas de segurança conseguissem agir antes que o escopo da
ameaça se ampliasse.
III. Seria usada por equipes experientes de operações de segurança do Tribunal para construir e executar multi-stage
playbooks que automatizariam ações em um ecossistema de soluções de segurança conectado por API. Esta solução
seria mais complexa, mais cara e ainda requereria um SOC altamente maduro para implementar e manter integrações de
parceiros do Tribunal.
IV. Forneceria ao Tribunal a capacidade de monitorar endpoints quanto a comportamentos suspeitos e registraria todas as
atividades e eventos. Em seguida, correlacionaria as informações para fornecer contexto crítico para detectar ameaças
avançadas e, finalmente, executaria atividades de resposta automatizada, como isolar um endpoint infectado da rede do
Tribunal quase em tempo real.
As ferramentas de I a IV correspondem, correta e respectivamente, a