Publicado originalmente en
Casi todos los proveedores, desde las empresas de pasarela de correo electrónico hasta los desarrolladores de plataformas de inteligencia de amenazas, se están posicionando como un XDR jugador. Pero desafortunadamente, el ruido alrededor XDR hace que sea más difícil para los compradores encontrar soluciones que puedan ser adecuadas para ellos o, lo que es más importante, evitar aquellas que no satisfacen sus necesidades.
Stellar Cyber ofrece una Abrir XDR Solución que permite a las organizaciones usar las herramientas de seguridad que deseen en su conjunto de seguridad, alimentando alertas e registros a Stellar Cyber. El enfoque "abierto" de Stellar Cyber significa que su plataforma es compatible con cualquier producto. Como resultado, un equipo de seguridad puede realizar cambios sin preocuparse por si Stellar Cyber Abrir... XDR La plataforma seguirá funcionando.
Stellar Cyber atiende las necesidades de los equipos de seguridad empresariales ágiles al proporcionar capacidades que normalmente se encuentran en NG-SIEM, NDR y SOAR en sus productos Abrir XDR Plataforma gestionada por una única licencia. Esta consolidación permite a los clientes eliminar la complejidad de la pila de seguridad.
Stellar Cyber brinda servicios a clientes en todas las industrias principales, con clientes en Europa, Asia, Australia, Japón, Corea del Sur y África, brindando seguridad para más de 3 millones de activos. Además, Stellar Cyber afirma que después de la implementación, los usuarios ven un tiempo medio de respuesta (MTTR) hasta 20 veces más rápido, una afirmación audaz.
Responder a un incidente desde la página de inicio
Al iniciar sesión en Stellar Cyber, la pantalla inicial es la del analista, que muestra estadísticas como los principales incidentes y los activos más riesgosos. Un elemento interesante de esta pantalla es lo que Stellar Cyber llama "Abrir". XDR Cadena de ataque. Al hacer clic en cualquier segmento de la cadena, como "Intentos iniciales", se muestran las amenazas asociadas a esa parte de la cadena de ataque.
Por ejemplo, el usuario puede ver estas alertas con la etapa “Intentos iniciales” configurada por Stellar Cyber automáticamente. El usuario puede ver más información sobre la alerta haciendo clic en “Ver” en cualquiera de las alertas. Luego, al desplazarse hacia abajo en la pantalla, el usuario puede hacer clic en el hipervínculo "más información" para ver más información sobre la alerta seleccionada.
Aquí, un usuario puede leer sobre el incidente, revisar los detalles y ver los datos sin procesar detrás de este incidente y el JSON, que se puede copiar a un portapapeles si es necesario. Además, al hacer clic en el botón "Acciones", el usuario puede ver otras potentes funciones de la plataforma.
El usuario puede realizar acciones de respuesta desde esta pantalla, como "agregar un filtro, activar un correo electrónico o realizar una acción externa". Al hacer clic en la acción externa, se muestra una lista de selección adicional. El usuario puede hacer clic en Endpoint para ver las opciones de acción desde contener host hasta apagar host.
Al hacer clic en una acción, como contener host, se muestra un cuadro de diálogo de configuración en el que el usuario puede seleccionar el conector que desea usar, el destino de la acción y cualquier otra opción necesaria para iniciar la acción elegida. En resumen, los analistas de seguridad, especialmente los más jóvenes, encontrarán este flujo de trabajo muy útil porque pueden a) revisar rápidamente los detalles de un incidente desde la pantalla de inicio, b) ver aún más detalles profundizando en los datos y c) tomar una acción de remediación desde esta pantalla sin escribir ningún script o código.
La empresa puede ayudar a incorporar nuevos analistas haciéndolos trabajar en esta vista para familiarizarlos con la plataforma, manejando incidentes de baja prioridad para que otros analistas puedan trabajar en los incidentes más críticos.
Exploración de incidentes
En lugar de hacer clic en Abrir XDR Kill Chain, si el usuario hace clic en “Incidentes”, se muestra la siguiente pantalla.
Cuando el usuario hace clic en la zanahoria en el círculo azul, una lista de filtrado permite al usuario concentrarse en un tipo específico de incidente. El usuario puede ir directamente al botón de detalles para ver qué hay en esta vista de detalles.
El usuario puede ver cómo ocurrió este incidente y cómo se propagó a través de múltiples activos. Además, el usuario puede ver automáticamente los archivos, procesos, usuarios y servicios asociados con el incidente. Entonces, por ejemplo, el usuario podría cambiar a la vista de línea de tiempo para obtener un historial legible de este incidente.
Y haga clic en la pequeña "i" para acceder a la pantalla de detalles que se muestra anteriormente.
En resumen, los analistas que están acostumbrados a trabajar con una lista de alertas pueden querer comenzar sus investigaciones desde la página de incidentes. Esta vista también es beneficiosa, ya que muestra automáticamente todas las alertas asociadas con este incidente en una sola vista.
Caza de amenazas en Stellar Cyber
Los usuarios pueden iniciar una búsqueda de amenazas desde la pantalla de arriba. Las estadísticas en la pantalla cambian dinámicamente al escribir un término, como "iniciar sesión", en el cuadro de diálogo de búsqueda. Luego, al desplazarse hacia abajo en la pantalla, los usuarios pueden ver una lista de alertas filtradas según el término de búsqueda.
Los usuarios pueden crear una "búsqueda de correlación" en el cuadro de diálogo de búsqueda.
Los usuarios pueden cargar una consulta guardada o agregar una nueva consulta. Al hacer clic en Agregar consulta, el usuario puede ver este generador de consultas. Este constructor permite una búsqueda en los almacenes de datos de Stellar Cyber en busca de amenazas que pasaron desapercibidas. Aquí el usuario también puede acceder a la biblioteca de caza de amenazas.
Finalmente, el usuario puede crear acciones de respuesta que se ejecutan automáticamente si la consulta devuelve coincidencias.
En resumen, Stellar Cyber ofrece una plataforma simple de búsqueda de amenazas que no requiere que los usuarios construyan su propia pila ELK o que sean expertos en secuencias de comandos. Esta característica es una manera fácil de agregar un elemento de búsqueda de amenazas a un equipo de seguridad sin contratar a un cazador de amenazas senior.
Conclusión
Stellar Cyber es una sólida plataforma de operaciones de seguridad con muchas funciones que podrían ayudar a un equipo de seguridad a mejorar la productividad. Si en el mercado de un nuevo plataforma de operaciones de seguridad y abierto a adoptar (total o parcialmente) un nuevo enfoque de la seguridad, vale la pena ver lo que ofrece Stellar Cyber. Para obtener más información sobre Stellar Cyber, pruebe el Recorrido del producto de 5 minutos.
