النهج الفني في EDR العالمي

لبائعي الأمن والموجودين في سوق XDR على وجه التحديد، هناك محور معماري للبناء مقابل التكامل. من جهة ، لديك "بناء / الحصول على كل شيء" - البائعون الذين تم دمجهم رأسياً ويريدون أن يكونوا مكدس أمان كامل للمؤسسة. على الطرف الآخر ، لديك "التكامل مع كل شيء" - البائعون الذين ينشئون مكونًا واحدًا أو واجهة برمجة تطبيقات من المفترض أن يتم تجميعها في بنية أكبر. هناك إيجابيات وسلبيات لكلا النهجين. يمكن لمعسكر "بناء / الحصول على كل شيء" ربط جميع المكونات معًا بإحكام لخلق تجربة أمنية متماسكة ، لكنهم يفعلون ذلك على حساب التركيز ومن المحتمل ألا يكون الأفضل من نوعه. يحتفل معسكر "التكامل مع كل شيء" بتركيزه الممنوح ويمكنه بناء منتج رائع مع الحد الأدنى من النطاق ، ولكنه يتطلب من مشترٍ معين وضعه في محفظة الأمان الأوسع الخاصة به.

في Stellar Cyber ​​، نتبع نهج التواجد في مكان ما في منتصف هذا المحور المعماري - التوازن بين القدرات المدمجة (لا سيما NDR, SIEM, TIP، و محرك XDR AI) والإمكانيات التي نتكامل معها. واحدة من أهم فئات المنتجات التي ندمج معها هي EDR. أعلنا مؤخرًا عن ملف أول EDR عالمي في الصناعة، وهي القدرة على جلب أي EDR أو EDR إلى منصتنا ، ونحن لا ندعمها فحسب ، بل نجعلها أفضل مع ضمان مستوى من الدقة بغض النظر عن خيار EDR. بمعنى آخر ، إنه يمكّن المستخدمين من الحصول على أفضل الأساليب المضمنة ودمجها - فهو يوفر ملف تكامل EDR العالمي حيث يتم دمج المنتج بإحكام بحيث يتصرف كما لو كان جزءًا أصليًا من النظام الأساسي ، ومع ذلك تظل المنصة مفتوحة.

كان أحد أكبر التحديات التقنية التي واجهناها عند تطوير هذه الإمكانية هو كيفية إنشاء تنبيهات عالية الدقة باستمرار بغض النظر عن مورد EDR. نحن نصف نهجنا الفني كما "مسارات التنبيه" أو تقنيات المعالجة المطلوبة للانتقال من بيانات EDR المصدر إلى تنبيه عالي الدقة في Stellar Cyber. كل EDR مختلفة ، والتي كانت الأساس للحاجة إلى تطوير إطار للتعامل مع كل EDR بشكل فعال.

إطار العمل ومسارات التنبيه الموضحة أدناه هي ميزات خلفية متاحة بسهولة في ملف منصة Stellar Cyber ​​Open XDR.

 

مسار التنبيه 1 - "إثراء العبور"

تأخذ تقنية "Passthrough Enrichment" التنبيهات من أنظمة EDR المصدر ، ثم تثري تلك التنبيهات بذكاء إضافي عن التهديدات وتوائمها مع MITER ATT & CK. هذا يشبه إلى حد ما إضافة بعض السياق الإضافي بعد إعادة الإبلاغ عن الأخبار ، ولكن يمكن أن يكون فعالًا للغاية إذا كانت بعض التنبيهات المعينة في EDR المصدر ذات دقة عالية. ومع ذلك ، في بحثنا ، لا ينطبق هذا النهج في أحسن الأحوال إلا جزئيًا على أي EDR معين.

تأخذ تقنية "العبور الإثراء" تنبيهات من المصدر أنظمة EDR، ثم يثري تلك التنبيهات بمعلومات إضافية عن التهديدات ويوائمها مع MITER ATT & CK. هذا يشبه إلى حد ما إضافة بعض السياق الإضافي بعد إعادة الإبلاغ عن الأخبار ، ولكن يمكن أن يكون فعالًا للغاية إذا كانت هناك تنبيهات معينة في المصدر EDR هي من أعلى الإخلاص. ومع ذلك ، في بحثنا ، لا ينطبق هذا النهج في أحسن الأحوال إلا جزئيًا على أي شيء EDR.

 

مسار التنبيه 2 - "إلغاء البيانات المكررة"

الجيل القادم SIEM

تطبق تقنية "إلغاء البيانات المكررة" التعلم الآلي لتحديد المصدر EDR تنبيهات التي تعتبر مكررة ومن المحتمل أن تكون جزءًا من نفس النشاط ، وتقوم بإنشاء تنبيه واحد داخل Stellar Cyber ​​لتحسين الأتمتة وأداء المحللين.

 

مسار التنبيه 3 - "التعلم الآلي المستند إلى حدث"

تحليل حركة مرور الشبكة

تعتبر تقنية "التعلم الآلي المستندة إلى الحدث" هي الأكثر تحديًا من الناحية الفنية نظرًا لأن كل مصدر EDR الأحداث والتنبيهات تتم معالجتها عبر نماذج مختلفة من تنبيه ML والتي تولد تنبيهات جديدة داخل Stellar Cyber. وهذا يتطلب دراسة بيانات مهمة وعملية تطبيع قوية للانسحاب عبر موردي EDR.

 

منهجنا في تحقيق معدل نقل البيانات العالمي (EDR)

مبدأنا التوجيهي لتصميم هذا الإطار هو النتيجة الأمنية للمستخدم النهائي. نظرًا لعدم وجود EDR هو نفسه ، فهذا يعني أننا نطبق مسارات تنبيه مختلفة على مجموعات فرعية مختلفة من التنبيهات والأحداث عبر منتجات EDR المختلفة. على سبيل المثال ، قد تحتوي EDR 1 على 10٪ عبور ، و 50٪ إلغاء تكرار ، و 40٪ تعتمد على حدث التعلم الآلي ، بينما بالنسبة لـ EDR 2 ، يمكن أن تكون هذه النسب 0٪ و 80٪ و 20٪ على التوالي.

بالنسبة إلى شركة لا تبني EDR داخليًا ، نجد أنفسنا في طليعة أبحاث الأمان المستندة إلى نقطة النهاية. هذا مثير داخليًا للحدود نفسها ، ولكن الأهم من ذلك هو ما يعنيه لعملائنا. هناك الكثير من العمل الذي يتعين القيام به ، وإذا كنت مهتمًا بالانضمام إلى فريقنا الموهوب في مجال الأمن أو الهندسة ، فيرجى التحقق من فرص العمل.