Rechercher
Fermez ce champ de recherche.

Approche technique de l'EDR universel

Pour les fournisseurs de sécurité et ceux du marché XDR spécifiquement, il existe un axe architectural de construction vs. intégrer. D'un côté, vous avez "Construire / Tout acquérir" – les fournisseurs qui sont intégrés verticalement et qui veulent être la pile de sécurité complète d'une entreprise. A l'autre bout, vous avez "S'intégrer à tout" – les fournisseurs qui construisent un seul composant ou API destiné à être reconstitué dans une architecture plus large. Il y a des avantages et des inconvénients pour les deux approches. Le camp "Construire / Acquérir tout" peut lier étroitement tous les composants ensemble pour créer une expérience de sécurité cohérente, mais ils le font au détriment de la concentration et ne seront probablement pas les meilleurs. Le camp "Intégrer avec tout" se délecte de sa concentration et peut créer un produit fantastique avec une portée minimale, mais nécessite qu'un certain acheteur les intègre dans son portefeuille de sécurité plus large.

Chez Stellar Cyber, nous adoptons l'approche d'être quelque part au milieu de cet axe architectural - un équilibre entre les capacités intégrées (notamment NDR, SIEM, ASTUCE, et le Moteur IA XDR) et les capacités que nous intégrons. L'EDR est l'une des classes de produits les plus importantes avec lesquelles nous nous intégrons. Nous avons récemment annoncé la Le premier EDR universel de l'industrie, qui est la capacité d'apporter n'importe quel EDR ou EDR à notre plate-forme, et non seulement nous les soutenons, mais nous les améliorons tout en garantissant un niveau de fidélité quel que soit le choix EDR. En d'autres termes, il permet aux utilisateurs de tirer le meilleur parti des approches intégrées et intégrées - il offre une Intégration EDR universelle où le produit en cours d'intégration est si étroitement intégré qu'il se comporte comme s'il faisait partie native de la plate-forme, mais la plate-forme reste ouverte.

L'un des plus grands défis techniques que nous avons rencontrés lors du développement de cette capacité était de savoir comment générer systématiquement des alertes haute fidélité, quel que soit le fournisseur EDR. Nous décrivons notre approche technique comme "Voies d'alerte" ou les techniques de traitement nécessaires pour passer des données source EDR à une alerte haute fidélité dans Stellar Cyber. Tous EDR est différent, ce qui était à la base de la nécessité de développer un cadre pour gérer efficacement chaque EDR.

Le cadre et les chemins d'alerte décrits ci-dessous sont des fonctionnalités principales facilement disponibles dans le Plateforme stellaire Cyber ​​Open XDR.

 

Voie d'alerte 1 - "Enrichissement de passage"

La technique « Passthrough Enrichment » prend les alertes des systèmes EDR sources, puis enrichit ces alertes avec des renseignements supplémentaires sur les menaces et les aligne sur MITRE ATT&CK. Dans un sens, cela revient à ajouter un contexte supplémentaire après avoir retransmis les nouvelles, mais cela peut être très efficace si certaines alertes particulières dans l'EDR source sont de la plus haute fidélité. Cependant, dans notre recherche, cette approche n'est au mieux que partiellement applicable pour un EDR donné.

La technique « Passthrough Enrichment » prend alertes de la source Systèmes EDR, puis enrichit ces alertes avec des renseignements supplémentaires sur les menaces et les aligne sur MITRE ATT & CK. Dans un sens, cela revient à ajouter un contexte supplémentaire après avoir retransmis l'actualité, mais cela peut être très efficace si certaines alertes particulières dans la source EDR sont de la plus haute fidélité. Cependant, dans notre recherche, cette approche n'est au mieux que partiellement applicable pour un EDR.

 

Voie d'alerte 2 – « Déduplication »

SIEM de nouvelle génération

La technique de « déduplication » applique le Machine Learning pour identifier la source EDR alertes qui font double emploi et font probablement partie de la même activité, et génèrent une seule alerte au sein de Stellar Cyber ​​pour améliorer l'automatisation et les performances des analystes.

 

Voie d'alerte 3 - "Apprentissage automatique basé sur les événements"

Analyse du trafic réseau

La technique « Machine Learning Event-Based » est la plus difficile techniquement car toutes les sources EDR événements et alertes sont traitées via différents modèles d'alerte ML qui génèrent de nouvelles alertes inédites dans Stellar Cyber. Cela nécessite une étude de données importante et un processus de normalisation robuste à mettre en place entre les fournisseurs d'EDR.

 

Notre approche de l'EDR universel

Notre principe directeur pour la conception de ce cadre est le résultat de la sécurité pour l'utilisateur final. Étant donné qu'aucun EDR n'est identique, cela signifie que nous appliquons différentes voies d'alerte à différents sous-ensembles d'alertes et d'événements sur différents produits EDR. Par exemple, EDR 1 peut avoir 10 % de transmission, 50 % de déduplication et 40 % d'apprentissage automatique basé sur les événements, tandis que pour EDR 2, ces ratios peuvent être respectivement de 0 %, 80 % et 20 %.

Pour une entreprise qui ne construit pas d'EDR en interne, nous nous trouvons à la pointe de la recherche sur la sécurité basée sur les terminaux. C'est passionnant en interne pour la frontière elle-même, mais surtout en raison de ce que cela signifie pour nos clients. Il y a tellement plus de travail à faire, et si vous êtes intéressé à rejoindre notre talentueuse équipe de sécurité ou d'ingénierie, veuillez consulter notre offres d'emploi.