Телеметрия применяется в современных системах безопасности для обнаружения угроз и реагирования на инциденты. 3

Некоторые способы использования телеметрии в системах безопасности:

• Процессная телеметрия. 1 Собирает данные о действиях отдельных процессов на конечных устройствах. 1 Позволяет отследить последовательность исполнения многокомпонентных приложений, а в случае атаки — различных компонентов вредоносного ПО. 1
• Сетевая телеметрия. 1 Даёт информацию по подключениям и открытым сетевым портам на конечных машинах. 1 В сочетании с процессной телеметрией позволяет точно отследить, какие фрагменты ИТ-сети затронуты возможной атакой, а также выявить точки закрепления злоумышленников в корпоративной инфраструктуре. 1
• Системные журналы. 1 Это источник данных о процессах и событиях, связанных с действиями в различных системных интерфейсах и службах. 1 Позволяет детально анализировать поведение этих служб. 1

Центральными точками сбора данных телеметрии выступают EDR и SIEM-системы. 1 В них из собранной информации происходит извлечение и формирование событий в едином формате, их агрегация и корреляция. 1

Ключевые показатели для мониторинга данных телеметрии в целях кибербезопасности включают структуру сетевого трафика, показатели производительности системы, инциденты безопасности, данные анализа угроз, аномалии поведения пользователей и другие. 3