Für Sicherheitsanbieter und solche in der XDR-Markt speziell, gibt es eine architektonische Achse von Build vs. Integrieren. An einem Ende haben Sie „Baue / erwerbe alles“ – Anbieter, die vertikal integriert sind und den gesamten Sicherheits-Stack eines Unternehmens darstellen möchten. Am anderen Ende haben Sie „In alles integrieren“ – Anbieter, die eine einzelne Komponente oder API bauen, die in eine größere Architektur integriert werden soll. Für beide Ansätze gibt es Vor- und Nachteile. Das Camp „Build / Acquire Everything“ kann alle Komponenten eng miteinander verdrahten, um ein zusammenhängendes Sicherheitserlebnis zu schaffen, aber sie tun dies auf Kosten der Konzentration und werden wahrscheinlich nicht die Besten ihrer Klasse sein. Das „Integrate with Everything“-Camp schwelgt in seinem gebotenen Fokus und kann ein fantastisches Produkt mit minimalem Umfang entwickeln, erfordert aber einen bestimmten Käufer, der es in sein breiteres Sicherheitsportfolio einfügt.
Bei Stellar Cyber verfolgen wir den Ansatz, irgendwo in der Mitte dieser architektonischen Achse zu sein – ein Gleichgewicht zwischen eingebauten Fähigkeiten (insbesondere NDR, SIEM, TIPPund die XDR AI-Engine) und Funktionen, die wir integrieren. Eine der wichtigsten Produktklassen, in die wir integrieren, ist EDR. Das haben wir kürzlich angekündigt Der branchenweit erste universelle EDR, d. h. die Möglichkeit, beliebige EDRs oder EDRs auf unsere Plattform zu bringen, und wir unterstützen sie nicht nur, sondern verbessern sie, während wir unabhängig von der EDR-Wahl ein Maß an Treue gewährleisten. Mit anderen Worten, es ermöglicht Benutzern, das Beste aus den integrierten und integrierten Ansätzen herauszuholen – es bietet eine Universelle EDR-Integration wobei das zu integrierende Produkt so eng integriert ist, dass es sich verhält, als wäre es ein nativer Teil der Plattform, die Plattform jedoch offen bleibt.
Eine der größten technischen Herausforderungen, auf die wir bei der Entwicklung dieser Funktion gestoßen sind, war die konsistente Generierung von High-Fidelity-Warnungen unabhängig vom EDR-Anbieter. Wir beschreiben unseren technischen Ansatz als „Warnwege“ oder die Verarbeitungstechniken, die erforderlich sind, um von den Quell-EDR-Daten zu einer High-Fidelity-Warnung in Stellar Cyber zu gelangen. Jeden EDR ist anders, was die Grundlage für die Notwendigkeit war, ein Framework zu entwickeln, um jeden EDR effektiv zu handhaben.
Das unten beschriebene Framework und die Benachrichtigungspfade sind leicht verfügbare Backend-Funktionen in der Stellar Cyber Open XDR-Plattform.
Warnpfad 1 – „Passthrough-Anreicherung“
Die „Passthrough Enrichment“-Technik dauert Warnungen von der Quelle EDR-Systeme, reichert diese Warnungen dann mit zusätzlicher Bedrohungsintelligenz an und richtet sie an aus MITRE ATT & CK. In gewisser Weise ist dies wie das Hinzufügen eines zusätzlichen Kontexts nach der erneuten Berichterstattung über die Nachrichten, kann jedoch sehr effektiv sein, wenn einige bestimmte Warnungen in der Quelle enthalten sind EDR sind von höchster Treue. In unserer Forschung ist dieser Ansatz jedoch bestenfalls nur teilweise anwendbar EDR.
Warnpfad 2 – „Deduplizierung“
Die „Deduplizierungs“-Technik wendet maschinelles Lernen an, um Quell-EDR zu identifizieren Warnungen die sich duplizieren und wahrscheinlich Teil derselben Aktivität sind, und generiert eine einzelne Warnung innerhalb von Stellar Cyber, um die Automatisierung und die Analystenleistung zu verbessern.
Alert Pathway 3 – „Machine Learning Event-Based“
Die „Machine Learning Event-Based“-Technik ist die technisch anspruchsvollste, da alle Quellen von EDR sind Ereignisse und Warnungen werden über verschiedene ML-Alarmmodelle verarbeitet, die neue neuartige Alarme innerhalb von Stellar Cyber generieren. Dies erfordert umfangreiche Datenstudien und einen robusten Normalisierungsprozess, um bei allen EDR-Anbietern erfolgreich zu sein.
Unser Ansatz für universelle EDR
Unser Leitprinzip bei der Gestaltung dieses Frameworks ist das Sicherheitsergebnis für den Endbenutzer. Da kein EDR gleich ist, bedeutet dies, dass wir verschiedene Warnpfade auf verschiedene Teilmengen von Warnungen und Ereignissen in verschiedenen EDR-Produkten anwenden. Beispielsweise könnte EDR 1 10 % Passthrough, 50 % Deduplizierung und 40 % ereignisbasiertes maschinelles Lernen aufweisen, während diese Verhältnisse für EDR 2 0 %, 80 % bzw. 20 % betragen könnten.
Für ein Unternehmen, das kein internes EDR aufbaut, befinden wir uns an der Spitze der Endpunkt-basierten Sicherheitsforschung. Das ist intern spannend für das Frontier selbst, aber vor allem wegen dessen, was es für unsere Kunden bedeutet. Es gibt noch so viel zu tun, und wenn Sie daran interessiert sind, Teil unseres talentierten Sicherheits- oder Ingenieurteams zu werden, sehen Sie sich bitte unsere an Stellenangebote.
