Dentro del flujo de datos de Stellar Cyber: el motor oculto detrás de una seguridad más inteligente

By /

Seguridad impulsada por IA, Ciberseguridad, Tecnología informática, MSSP, Red de Seguridad, Abrir XDR, Abrir XDR Plataforma

Resumen Ejecutivo

Moderno SOCLos clientes se ven abrumados por el volumen y la complejidad de los datos. La capacidad de filtrar, normalizar, enriquecer y enrutar datos de seguridad a escala sin perder fidelidad impacta directamente en la precisión de la detección, la eficiencia de los analistas y el cumplimiento normativo. Con una comprensión plena de la importancia de los desafíos y las necesidades de los datos que implica dicha capacidad, la canalización de datos de Stellar Cyber ​​no es un complemento, sino una capacidad esencial de nuestra... Plataforma SecOps impulsada por IA Desde el inicio. Este informe técnico describe los fundamentos técnicos del pipeline de Stellar Cyber ​​y cómo su arquitectura única ayuda a los equipos de seguridad a unificar sus fuentes de datos, reducir el ruido y acelerar la respuesta a incidentes.

Introducción: Más allá de los canales de datos

Mientras que algunos productos se centran únicamente en la recopilación y transferencia de datos, Stellar Cyber ​​integra una plataforma completa de operaciones de seguridad con un flujo de datos de ingeniería profunda. Este flujo no solo ingiere y transporta datos, sino que los transforma mediante un proceso de varios pasos. filtra, normaliza, enriquece, correlaciona y enruta hacia el almacenamiento adecuado para flujos de trabajo de detección y respuesta y hacia almacenamiento de respaldo como S3Esto permite una verdadera visibilidad, detección y acción de extremo a extremo.

Principios básicos del canal de datos cibernéticos estelares

Para ofrecer una visibilidad generalizada de toda la superficie de ataque de una organización, la solución de Stellar Cyber ​​ofrece múltiples métodos de recopilación de datos. Puede recopilar registros y telemetría de red mediante sus sensores modulares distribuidos, integrarse con numerosas aplicaciones mediante sus API nativas e implementar servidores. sensor para capturar datos de servidores Linux y Windows.

1. Filtrado de tráfico en el borde

A diferencia de las herramientas que solo filtran en el punto de ingesta en una ubicación central, los sensores de Stellar Cyber ​​aplican filtros de tráfico y aplicaciones antes de que los datos salgan de la fuente. Los eventos que llegan al pipeline son procesados ​​inmediatamente por reenviadores avanzados. Aplican reglas de filtrado detalladas a escala para que solo se conserven los datos necesarios para el cumplimiento normativo, la detección o el análisis. Este filtrado previo a la ingesta:
  • Elimina eventos irrelevantes de forma temprana (reducción de ruido en el borde).
  • Reduce los requisitos de ancho de banda y almacenamiento descartando por adelantado los registros no críticos.
  • Proporciona flexibilidad al admitir el filtrado basado en políticas basado en el tipo de aplicación, puerto, protocolo o reglas personalizadas.

2. Normalización entre diversas fuentes

El motor de normalización de Interflow estandariza los formatos y esquemas de registro de diversas fuentes. Esto permite:

  • Detección automatizada mediante aprendizaje automático o reglas
  • Correlación automatizada de alertas individuales en casos a través de artefactos normalizados.
  • Enriquecimiento consistente para la contextualización
  • Análisis rápidos de flujo descendente sin análisis repetidos.
  • Paneles de control, informes e investigaciones precisos y fáciles de entender.

3. Enriquecimiento contextual en tiempo real en la ingestión

A medida que los datos fluyen hacia Stellar Cyber Abrir XDR plataforma, se enriquece en línea en tiempo real, no después de la ingestión, brindando telemetría de alto contexto para impulsar una detección y respuesta rápidas y precisas.

Las dimensiones clave de enriquecimiento incluyen:
  • Búsquedas de GeoIP y ASN: Agrega instantáneamente datos de país, ciudad y sistema autónomo a cada evento con IP.
  • Inteligencia sobre amenazas en tiempo real: Se correlaciona con múltiples fuentes de información sobre amenazas (comerciales, de código abierto y definidas por el cliente) y aplica una puntuación de riesgo en tiempo real.
  • Resolución de usuario y entidad: Asigna registros y tráfico a identidades humanas y de máquinas a través de Active Directory, Okta, sistemas IAM e inventarios de activos.
  • Identificación de la aplicación: El motor de inspección profunda de paquetes (DPI) y la toma de huellas dactilares de aplicaciones mejoran la claridad de los eventos más allá de la heurística basada en puertos.
  • Etiquetado personalizado e inyección de contexto: Los administradores pueden inyectar contexto específico del negocio (por ejemplo, criticidad de los activos, función, zonas de cumplimiento) en el flujo de datos.
Este enriquecimiento profundo y en línea garantiza que cada alerta e investigación comience con un contexto rico y práctico, como dónde, cuándo, quién, qué, lo que minimiza el tiempo de clasificación, eleva la precisión de la detección y permite un análisis más rápido de la causa raíz.

4. Enmascaramiento y redacción de PII/PHI

El pipeline incluye filtros basados ​​en expresiones regulares y funciones de enmascaramiento para redactar automáticamente campos sensibles, como información personal identificable o información de salud protegida. Esto ayuda a las organizaciones a cumplir con los requisitos regulatorios y, al mismo tiempo, a aprovechar los datos para el análisis de seguridad.

5. Enrutamiento y multiplexación

Con los perfiles de enrutamiento, se pueden enviar eventos enriquecidos a múltiples destinos simultáneamente (SIEMs, cualquier lago de datos compatible con S3 o Snowflake, sistemas de tickets o clústeres de análisis). Esto permite a los equipos:
  • Evite quedarse atrapado en un proveedor.
  • Satisfaga diversas necesidades de almacenamiento, cumplimiento o análisis.
  • Alimente equipos o herramientas separados sin duplicar esfuerzos de ingestión.

6. Detección de anomalías y deduplicación en tiempo real

Los módulos de detección de anomalías en línea y aprendizaje automático (ML) post-ingesta identifican valores atípicos a medida que llegan los datos. La deduplicación y la agregación reducen aún más el volumen de datos sin sacrificar la fidelidad, ideal para entornos con alto EPS y varios terabytes/día.

7. Arquitectura MSSP multiinquilino

Desde sus inicios, Stellar Cyber ​​integró capacidades multiusuario en su plataforma. Los MSSP pueden gestionar de forma segura a múltiples clientes con aislamiento total de datos, diferentes opciones de almacenamiento, distintos periodos de retención, políticas e informes, etc. Esto les permite ofrecer diversas opciones para satisfacer las necesidades de sus clientes.

8. Integración de plataforma nativa

El pipeline forma parte de la arquitectura nativa de Stellar Cyber, sin complementos ni dependencias de terceros. Esto garantiza:
  • Latencia más baja.
  • Actualizaciones más rápidas y escalabilidad.
  • Postura consistente en seguridad y cumplimiento
  • Bucle de retroalimentación inmediato entre el posprocesamiento y el motor de datos.

9. Flexibilidad en la migración de datos

Stellar Cyber ​​admite la migración desde sistemas heredados SIEMs a nuevos lagos de datos o plataformas de análisis mediante conectores y perfiles de enrutamiento, preservando la continuidad y evitando costosos proyectos de reemplazo.

Escalabilidad y madurez

La arquitectura de pipeline de Stellar Cyber ​​ha sido probada en implementaciones globales de varios terabytes por día. Los clientes escalan habitualmente a decenas de miles de endpoints y docenas de fuentes de datos sin cuellos de botella. La madurez de la plataforma permite a los equipos de seguridad implementar rápidamente, integrarse ampliamente y confiar en el pipeline en producción.

Por qué es importante el flujo de datos de Stellar Cyber

Dado que el pipeline está integrado en una plataforma SecOps basada en IA, los analistas no solo obtienen datos limpios, sino también detección, investigación y respuesta automatizadas, todo desde un único entorno unificado. Esto significa:
  • MTTR más rápido.
  • Mayor eficiencia del analista.
  • Reducción de costes de infraestructura.
  • Visibilidad completa desde la ingestión hasta la remediación.

Conclusión

El flujo de datos de Stellar Cyber ​​es más que un simple mecanismo de transporte; es la columna vertebral de una plataforma de operaciones de seguridad unificada e impulsada por IA. Al filtrar en la fuente, normalizar en diversas fuentes, enriquecer con contexto y enrutar los datos de forma flexible, Stellar Cyber ​​potencia SOC equipos para operar a escala, eliminar el ruido y responder a las amenazas más rápidamente.

Artículos Relacionados

Ir al Inicio
Suscríbete a los boletines