Ursprünglich geschrieben in
Nahezu jeder Anbieter, von E-Mail-Gateway-Unternehmen bis hin zu Entwicklern von Bedrohungsanalyseplattformen, positioniert sich als XDR Spieler. Aber leider ist der Lärm um den Spieler herum XDR Dies erschwert es Käufern, passende Lösungen zu finden oder, noch wichtiger, solche zu vermeiden, die ihren Bedürfnissen nicht entsprechen.
Stellar Cyber liefert ein Open XDR Die Lösung ermöglicht es Unternehmen, beliebige Sicherheitstools in ihrer Sicherheitsarchitektur einzusetzen und Warnmeldungen sowie Protokolle an Stellar Cyber zu übermitteln. Dank des offenen Ansatzes von Stellar Cyber ist die Plattform mit jedem Produkt kompatibel. So kann ein Sicherheitsteam Änderungen vornehmen, ohne sich Gedanken über die Kompatibilität mit Stellar Cyber machen zu müssen. Open XDR Die Plattform wird weiterhin funktionieren.
Stellar Cyber erfüllt die Bedürfnisse schlanker Sicherheitsteams in Unternehmen, indem es Funktionen bereitstellt, die typischerweise in NG-SIEM, NDR- und SOAR-Produkte in ihren Open XDR Die Plattform wird über eine einzige Lizenz verwaltet. Diese Konsolidierung ermöglicht es Kunden, die Komplexität ihrer Sicherheitsarchitektur zu reduzieren.
Stellar Cyber bedient Kunden in allen wichtigen Branchen, mit Kunden in ganz Europa, Asien, Australien, Japan, Südkorea und Afrika, und bietet Sicherheit für über 3 Millionen Vermögenswerte. Darüber hinaus behauptet Stellar Cyber, dass Benutzer nach der Bereitstellung eine bis zu 20-mal schnellere mittlere Reaktionszeit (MTTR) sehen, eine kühne Behauptung.
Reagieren auf einen Vorfall von der Startseite aus
Beim Einloggen in Stellar Cyber erscheint zunächst die Analysten-Startseite mit Statistiken zu Top-Vorfällen und risikoreichsten Assets. Ein interessantes Element auf dieser Seite ist das, was Stellar Cyber als „…“ bezeichnet. Open XDR Angriffskette. Durch Klicken auf ein beliebiges Segment der Angriffskette, wie z. B. „Erste Versuche“, werden die mit diesem Teil der Angriffskette verbundenen Bedrohungen angezeigt.
Beispielsweise kann der Benutzer diese Warnungen mit der von Stellar Cyber automatisch eingestellten Stufe „Erste Versuche“ sehen. Der Benutzer kann weitere Informationen über die Warnung anzeigen, indem er bei einer der Warnungen auf „Anzeigen“ klickt. Wenn der Benutzer dann den Bildschirm nach unten scrollt, kann er auf den Hyperlink „Weitere Informationen“ klicken, um weitere Informationen über die ausgewählte Warnung anzuzeigen.
Hier kann ein Benutzer über den Vorfall lesen, die Details überprüfen und die Rohdaten hinter diesem Vorfall und das JSON sehen, das bei Bedarf in eine Zwischenablage kopiert werden kann. Darüber hinaus kann der Benutzer durch Klicken auf die Schaltfläche „Aktionen“ weitere leistungsstarke Plattformfunktionen sehen.
Der Benutzer kann von diesem Bildschirm aus Antwortaktionen ausführen, z. B. „Filter hinzufügen, E-Mail auslösen oder externe Maßnahmen ergreifen. Durch Klicken auf externe Aktion wird eine zusätzliche Auswahlliste angezeigt. Der Benutzer kann auf Endpoint klicken, um die Aktionsoptionen von Contain-Host bis Shutdown-Host anzuzeigen.
Wenn Sie auf eine Aktion klicken, z. B. Host enthalten, wird ein Konfigurationsdialogfeld angezeigt, in dem der Benutzer den zu verwendenden Konnektor, das Ziel der Aktion und alle anderen Optionen auswählen kann, die zum Einleiten der ausgewählten Aktion erforderlich sind. Zusammenfassend lässt sich sagen, dass Sicherheitsanalysten, insbesondere unerfahrene, diesen Workflow sehr nützlich finden, da sie a) schnell Details eines Vorfalls vom Startbildschirm aus überprüfen können, b) noch mehr Details sehen können, indem sie weiter in die Daten einsteigen, und c) aufnehmen können eine Behebungsaktion von diesem Bildschirm aus, ohne Skripts oder Code schreiben zu müssen.
Das Unternehmen kann beim Onboarding neuer Analysten helfen, indem es sie an dieser Ansicht arbeiten lässt, um sie mit der Plattform vertraut zu machen und Vorfälle mit niedriger Priorität zu behandeln, damit andere Analysten an den kritischeren Vorfällen arbeiten können.
Erkunden von Vorfällen
Anstatt auf die zu klicken Open XDR Wenn der Benutzer in Kill Chain auf „Vorfälle“ klickt, wird der unten stehende Bildschirm angezeigt.
Wenn der Benutzer auf die Karotte im blauen Kreis klickt, ermöglicht eine Filterliste dem Benutzer, sich auf eine bestimmte Art von Vorfall zu konzentrieren. Der Benutzer kann direkt auf die Schaltfläche „Details“ gehen, um zu sehen, was sich in dieser Detailansicht befindet.
Der Benutzer kann sehen, wie dieser Vorfall aufgetreten ist und sich über mehrere Assets ausgebreitet hat. Darüber hinaus kann der Benutzer automatisch die mit dem Vorfall verbundenen Dateien, Prozesse, Benutzer und Dienste sehen. So könnte der Benutzer beispielsweise in die Timeline-Ansicht wechseln, um eine lesbare Historie dieses Vorfalls zu erhalten.
Und klicken Sie auf das kleine „i“, um zum zuvor gezeigten Detailbildschirm zu gelangen.
Zusammenfassend lässt sich sagen, dass Analysten, die es gewohnt sind, mit einer Liste von Warnungen zu arbeiten, ihre Untersuchungen vielleicht lieber von der Vorfallsseite aus beginnen. Diese Ansicht ist auch vorteilhaft, da sie automatisch alle mit diesem Vorfall verbundenen Warnungen in einer einzigen Ansicht anzeigt.
Bedrohungsjagd in Stellar Cyber
Benutzer können eine Bedrohungssuche über den obigen Bildschirm starten. Die Statistiken auf dem Bildschirm ändern sich dynamisch, indem Sie im Suchdialog einen Begriff wie „Anmelden“ eingeben. Wenn Sie dann den Bildschirm nach unten scrollen, können Benutzer eine Liste von Warnungen sehen, die basierend auf dem Suchbegriff gefiltert wurden.
Benutzer können im Suchdialogfeld eine „Korrelationssuche“ erstellen.
Benutzer können eine gespeicherte Abfrage laden oder eine neue Abfrage hinzufügen. Durch Klicken auf die Abfrage hinzufügen kann der Benutzer diesen Abfragegenerator sehen. Dieser Builder ermöglicht eine Suche in den Stellar Cyber-Datenspeichern nach unbemerkten Bedrohungen. Hier kann der Benutzer auch auf die Threat-Hunting-Bibliothek zugreifen.
Schließlich kann der Benutzer Antwortaktionen erstellen, die automatisch ausgeführt werden, wenn die Abfrage Übereinstimmungen zurückgibt.
Zusammenfassend bietet Stellar Cyber eine einfache Threat-Hunting-Plattform, bei der Benutzer keinen eigenen ELK-Stack aufbauen oder ein Power-Scripter sein müssen. Diese Funktion ist eine einfache Möglichkeit, einem Sicherheitsteam ein Element zur Bedrohungssuche hinzuzufügen, ohne einen erfahrenen Bedrohungsjäger einzustellen.
Fazit
Stellar Cyber ist eine solide Plattform für Sicherheitsoperationen mit vielen Funktionen, die einem Sicherheitsteam helfen könnten, die Produktivität zu steigern. Wenn auf dem Markt nach einem neuen SecOps-Plattform und offen dafür, (ganz oder teilweise) einen neuen Sicherheitsansatz zu übernehmen, lohnt es sich, einen Blick auf das Angebot von Stellar Cyber zu werfen. Um mehr über Stellar Cyber zu erfahren, versuchen Sie die 5-minütige Produkttour.
