Para los proveedores de seguridad y aquellos en el XDR mercado específicamente, hay un eje arquitectónico de construir vs. integrar. En un extremo tienes "Construir / Adquirir todo" – proveedores que están integrados verticalmente y desean ser la pila de seguridad completa de una empresa. En el otro extremo, tienes “Integrar con Todo” – proveedores que construyen un solo componente o API destinado a ser integrado en una arquitectura más grande. Hay ventajas y desventajas para ambos enfoques. El campo "Construir/Adquirir todo" puede unir todos los componentes para crear una experiencia de seguridad cohesiva, pero lo hacen a expensas de estar enfocados y probablemente no serán los mejores de su clase. El campo "Integrar con todo" se deleita en su enfoque proporcionado y puede crear un producto fantástico con un alcance mínimo, pero requiere que un cierto comprador los incluya en su cartera de seguridad más amplia.
En Stellar Cyber, adoptamos el enfoque de estar en algún lugar en medio de este eje arquitectónico: un equilibrio entre las capacidades integradas (en particular NDR, SIEM, TIP, y XDR Motor de IA) y capacidades con las que nos integramos. Una de las clases de productos más importantes con las que nos integramos es EDR. Recientemente anunciamos la El primer EDR universal de la industria, que es la capacidad de traer cualquier EDR o EDR a nuestra plataforma, y no solo los respaldamos, sino que los mejoramos al tiempo que garantizamos un nivel de fidelidad independientemente de la elección de EDR. En otras palabras, permite a los usuarios obtener lo mejor de los enfoques incorporados e integrados: ofrece una Integración EDR universal donde el producto que se está integrando está tan estrechamente integrado que se comporta como si fuera una parte nativa de la plataforma, pero la plataforma permanece abierta.
Uno de los mayores desafíos técnicos con los que nos encontramos al desarrollar esta capacidad fue cómo generar alertas de alta fidelidad de manera constante, independientemente del proveedor de EDR. Describimos nuestro enfoque técnico como “Vías de alerta” o las técnicas de procesamiento necesarias para pasar de los datos EDR de origen a una alerta de alta fidelidad en Stellar Cyber. Cada EDR es diferente, que fue la base para la necesidad de desarrollar un marco para manejar cada EDR de manera efectiva.
El marco y las rutas de alerta que se describen a continuación son funciones de back-end fácilmente disponibles en el Stellar Cyber Abrir XDR Plataforma.
Ruta de alerta 1: "Enriquecimiento de transferencia"
La técnica de “Passthrough Enrichment” toma alertas de la fuente sistemas EDR, luego enriquece esas alertas con inteligencia de amenazas adicional y las alinea para MITRE ATT & CK. En cierto sentido, esto es como agregar un contexto adicional después de volver a informar sobre las noticias, pero puede ser muy efectivo si algunas alertas particulares en la fuente EDR son de la más alta fidelidad. Sin embargo, en nuestra investigación, este enfoque es, en el mejor de los casos, solo parcialmente aplicable para cualquier EDR.
Ruta de alerta 2: "Deduplicación"
La técnica de "Deduplicación" aplica Machine Learning para identificar la fuente EDR alertas que son duplicados y probablemente parte de la misma actividad, y genera una única alerta dentro de Stellar Cyber para mejorar la automatización y el rendimiento de los analistas.
Ruta de alerta 3: "Aprendizaje automático basado en eventos"
La técnica de "Machine Learning Event-Based" es la técnicamente más desafiante porque todos los EDR de origen eventos y alertas se procesan a través de diferentes modelos de alertas de ML que generan nuevas alertas novedosas dentro de Stellar Cyber. Esto requiere un estudio de datos significativo y un proceso de normalización sólido para lograrlo entre los proveedores de EDR.
Nuestro enfoque de EDR universal
Nuestro principio rector para diseñar este marco es el resultado de seguridad para el usuario final. Dado que ningún EDR es igual, esto significa que aplicamos diferentes rutas de alerta a diferentes subconjuntos de alertas y eventos en diferentes productos de EDR. Por ejemplo, EDR 1 podría tener 10 % de traspaso, 50 % de deduplicación y 40 % basado en eventos de aprendizaje automático, mientras que para EDR 2 esas proporciones podrían ser 0 %, 80 % y 20 % respectivamente.
Para una empresa que no crea un EDR interno, nos encontramos en la vanguardia de la investigación de seguridad basada en endpoints. Esto es emocionante internamente para la frontera en sí, pero lo más importante es lo que significa para nuestros clientes. Hay mucho más trabajo por hacer, y si está interesado en unirse a nuestro talentoso equipo de seguridad o ingeniería, consulte nuestro ofertas de trabajo.
