Bâtir les bonnes bases pour l'avenir SOC

By /

EDR - Détection et réponse des points finaux, Alertes EDR, NDR, SIEM, SIEM sans souci, SOC

Détection et réponse du réseau

Pourquoi SIEM + NDR + Tout EDR est la voie la plus sûre vers une autonomie augmentée par l'humain SOC

Tous les responsables de la sécurité sont confrontés à la même question : quel devrait être le cœur d'une plateforme SecOps moderne ? CrowdStrike, SentinelOne et d'autres plaident en faveur d'une approche du point final en premierCommencez par l'EDR, puis ajoutez les boulons. SIEM et tout NDR. Chez Stellar Cyber, nous pensons que des bases plus solides proviennent de SIEM + NDR, plus tout EDR.

Les deux approches prétendent s'unifier. Elles promettent toutes deux une visibilité sur toute la chaîne d'élimination. Mais la véritable différence réside dans où vous ancrez votre architecture—et ce choix est important si vous envisagez sérieusement de construire un humain augmenté de l'expérience SOC.

Pourquoi l’EDR-first semble attrayant, mais a des limites

L'EDR a gagné en popularité car les terminaux sont omniprésents : ordinateurs portables, serveurs, charges de travail cloud et désormais, appareils IoT et OT. Des fournisseurs comme CrowdStrike et SentinelOne ont construit des écosystèmes puissants autour de la télémétrie des points de terminaison, et pour de nombreuses organisations, c'était le moyen le plus rapide de détecter les menaces avancées.

La vue du point final, cependant, est intrinsèquement limité.
  • Les points de terminaison ne montrent pas de mouvement latéral complet sur le réseau.
  • Ils ne prennent pas en compte le contexte de l’utilisation abusive d’identité, les journaux d’application et l’activité dans le cloud.
  • Et comme la plupart des produits EDR sont propriétaires, vous êtes limité aux agents, aux formats de données et aux analyses d'un seul fournisseur.

C'est pourquoi les plateformes EDR-first tentent finalement d'ajouter SIEM or NDR. Mais l'architecture traite toujours EDR comme source principale de vérité – et c’est là que les angles morts apparaissent.

Pourquoi SIEM + NDR + Tout EDR constitue une meilleure base

Si votre objectif est l’efficacité opérationnelle et un chemin vers l’autonomie, vous devez voir l'image entière dès le débutC'est pourquoi Stellar Cyber ​​met l'accent SIEM + NDR comme noyau, avec la capacité d'ingérer tout EDR.

Voici pourquoi cette approche est plus forte :

  1. Les journaux racontent l’histoire de l’intention. A SIEM Foundation vous permet de partir de la source de données la plus flexible et la plus complète : journaux des applications, du cloud, des systèmes d'identité et de l'infrastructure. Les journaux capturent le contexte et l'intention : échecs de connexion, élévations de privilèges, appels d'API inhabituels. Ces signaux sont essentiels pour détecter les attaques avant qu'elles ne se propagent.
    2.  
  2. Le trafic réseau révèle la vérité fondamentale. Les attaquants peuvent supprimer les journaux ou contourner les points de terminaison, mais ils ne peuvent pas éviter le réseau. NDR Offre une visibilité sur les mouvements latéraux, le commandement et le contrôle, ainsi que sur l'exfiltration de données. Sans NDR, vous évoluez à l'aveugle dans les étapes intermédiaires de la chaîne d'élimination.
    3.  
  3. Tout EDR complète le tableau. En branchant l’EDR que vous utilisez déjà—CrowdStrike, SentinelOne, Microsoft Defender ou autres : vous conservez la télémétrie détaillée des terminaux. Mais vous n'êtes pas dépendant d'un fournisseur. Vous bénéficiez de la liberté d'adopter de nouveaux outils EDR à mesure que vos besoins évoluent, tout en conservant votre cœur de métier. Plateforme SecOps reste stable.
Le résultat : journaux (intention) + paquets (comportement) + points de terminaison (activité). Ceci vue tridimensionnelle garantit que vous n'êtes pas trop orienté vers une seule source de données.

L’autonomie augmentée par l’humain commence par l’équilibre

L'industrie parle beaucoup de la de l'expérience SOC—où l'IA gère les tâches répétitives et les humains se concentrent sur les décisions à forte valeur ajoutée. Mais l'autonomie ne fonctionne que si l'IA a fondation de données équilibréeAlimentez-le uniquement avec des données de point de terminaison, et votre IA privilégiera des modèles centrés sur les points de terminaison. Alimentez-le avec des journaux et des paquets comme cœur, et l'IA identifiera des modèles plus larges couvrant les identités, les applications et le trafic latéral.

Cet équilibre est ce qui permet à humain augmenté SOC:

  • AI établit une corrélation entre les sources, supprime le bruit et intensifie les incidents réels.
  • Les humains faire preuve de jugement, valider les signaux critiques et décider comment réagir.
Lorsque votre plateforme principale est SIEM + NDR + Tout EDR, vous configurez l'IA pour qu'elle soit plus intelligente, plus complète et moins biaisée, afin que les analystes humains puissent lui faire confiance.

Contrôle des coûts et réalité opérationnelle

Un autre avantage pratique : coût et flexibilité.

Si vous ancrez votre SOC Dans un modèle privilégiant l'EDR, vous êtes lié à la licence et à l'écosystème du fournisseur. Envie de changer d'EDR ? Vous risquez de compromettre l'infrastructure SecOps. C'est pourquoi de nombreux fournisseurs acquièrent des solutions NDR plutôt que de les développer eux-mêmes. SIEM—ils essaient de rajouter les pièces manquantes sans perdre le contrôle du point d'ancrage final.

En revanche, SIEM + NDR au cœur est indépendant du fournisseur de terminauxVous pouvez utiliser CrowdStrike aujourd'hui, passer à Microsoft demain ou prendre en charge plusieurs solutions EDR dans vos filiales. SOC Les flux de travail, les tableaux de bord et la corrélation IA restent opérationnels. De plus, la collecte des journaux et du réseau étant plus efficace que le déploiement de nouveaux agents sur tous les terminaux, vous réalisez souvent des économies sur les licences et les coûts opérationnels.

Une histoire du terrain

Un responsable SecOps nous a récemment fait part de son expérience. Il a commencé avec une plateforme centrée sur l'EDR, car elle lui semblait plus simple. Au fil du temps, il s'est rendu compte que ses analystes poursuivaient encore des erreurs : alertes sans validation réseau, chronologies d'incident incomplètes et attaques par identifiants manqués.

Lorsqu'ils sont passés à Stellar Cyber SIEM Grâce à la fondation NDR et à la conservation de leur EDR existant, le changement a été immédiat. Les alertes sont devenues plus complètes, car les preuves réseau et le contexte des journaux entouraient chaque événement sur un terminal. Les analystes ont pu faire confiance aux incidents sur lesquels ils travaillaient, les temps de triage ont été réduits de plus de moitié et la direction a enfin constaté les résultats. rapport coût-efficacité on leur avait promis.

C’est le genre de changement opérationnel que l’on ne peut réaliser que lorsque le noyau est conçu pour unifier de manière large, et non étroite.

La voie à suivre

Le débat entre EDR + SIEM + tout NDR et la SIEM + NDR + tout EDR n'est pas seulement une question de sémantique. Il s'agit où vous commencez, sur quoi vous vous ancrez et à quel point votre avenir devient flexible.

Une stratégie axée sur le point final vous permet de vous limiter à un seul objectif. Une stratégie axée sur le logarithme et le réseau ouvre l'ouverture et vous permet d'ajouter l'objectif final de votre choix. C'est la base de la autonome augmentée par l'humain SOC—où l’IA fait évoluer vos capacités SecOps et où les humains gardent le contrôle du jugement et de la stratégie.

En fin de compte, les menaces les plus inquiétantes ne se limitent pas aux terminaux. Elles se déploient à travers les journaux, les paquets et les identités. Construisez votre SOC En vous appuyant sur cette vérité, vous stopperez non seulement les menaces plus rapidement, mais vous y parviendrez également tout en bénéficiant du contrôle des coûts, de la flexibilité et de l'autonomie dont votre entreprise a besoin.

Articles similaires

Remonter en haut
Inscrivez-vous aux newsletters