Au cours des derniers mois, le Acronyme XDR est utilisé par presque tous les fabricants de produits de sécurité. C'est une chose de dire que vous l'avez, mais le travail acharné nécessaire à la création des détections prend ans. Il ne suffit pas de dire que vous disposez d'une plate-forme de Big Data dans laquelle vous pouvez jeter des éléments et rechercher ; vous avez besoin de détections exploitables qui conduisent à des corrélations significatives. Voici deux éléments clés à considérer lorsque vous regardez XDR.
Normalisation des données – Pour obtenir une visibilité totale, la première chose que vous devez considérer est les données elles-mêmes. Chaque produit de sécurité présente une manière différente de présenter ses journaux et alertes. Les solutions réseau, les outils de sécurité des terminaux, les pare-feu, les outils d'identité, les outils de sécurité cloud et bien d'autres ont tous leurs propres formats et fréquence d'alerte. Tous Outil SIEM peut stocker les journaux de ces appareils - c'est la partie facile.
Le problème est que la création de règles complexes et multidimensionnelles pour suivre le rythme actuel des attaques est presque impossible. Par exemple, sur un IDS, vous pouvez voir plus d'un million d'alertes par jour. Les règles Suricata peuvent filtrer les vulnérabilités connues jusqu'à 200,000 XNUMX, mais à partir de là, vous devrez normalement créer une série de règles basées sur votre connaissance de l'environnement du client.
Il s'agit d'un domaine où l'utilisation de l'apprentissage automatique (ML) sur les données IDS peut réduire considérablement ce nombre à une poignée d'alertes gérable. Au lieu d'écrire des règles pour détecter des choses, vous pouvez tirer parti de ML pour définir ce qui est un comportement normal sur ce réseau. Quand le client se connecte-t-il normalement ? D'où se connectent-ils ? Combien de temps restent-ils normalement connectés ? Au lieu de 200,000 XNUMX alertes, les détections de ML peuvent réduire cela à une poignée. Voir ces informations corrélées entre tous vos outils de sécurité est beaucoup plus rapide et plus facile à gérer pour votre analyste SOC.
Intégrations ouvertes – De plus, assurez-vous que le Plateforme XDR vous envisagez est ouvert. Alors que les technologies de sécurité évoluent rapidement au cours des prochaines années, ces plates-formes vous aideront à éviter le verrouillage des fournisseurs. Cela vous aidera à maintenir votre capacité à vous adapter à l'évolution du paysage de la cybersécurité et aux besoins de vos clients.
Chez Stellar Cyber – nous pensons un API ou Open XDR est la meilleure voie à suivre – peu importe d'où vous venez et quels outils existants vous utilisez, et peu importe où vous voulez aller en termes de maturité de la sécurité. Pour nous, cela signifie que nous aidons à composer une stratégie qu'ils travaillent pour vous en tant qu'entreprise, ou vos clients en tant que MSSP, en tirant parti des investissements que vous avez tous les deux faits. Contactez-moi pour une discussion animée : ssalinas@stellarcyber.ai
