Au cours des derniers mois, le XDR acronyme est utilisé par presque tous les fabricants de produits de sécurité. C'est une chose de dire que vous l'avez, mais le travail acharné nécessaire à la création des détections prend ans. Il ne suffit pas de dire que vous disposez d'une plate-forme de Big Data dans laquelle vous pouvez jeter des éléments et rechercher ; vous avez besoin de détections exploitables qui conduisent à des corrélations significatives. Voici deux éléments clés à considérer lorsque vous regardez XDR.
Normalisation des données – Pour obtenir une visibilité totale, la première chose que vous devez considérer est les données elles-mêmes. Chaque produit de sécurité présente une manière différente de présenter ses journaux et alertes. Les solutions réseau, les outils de sécurité des terminaux, les pare-feu, les outils d'identité, les outils de sécurité cloud et bien d'autres ont tous leurs propres formats et fréquence d'alerte. Tous SIEM outil peut stocker les journaux de ces appareils - c'est la partie facile.
Le problème est que la création de règles complexes et multidimensionnelles pour suivre le rythme actuel des attaques est presque impossible. Par exemple, sur un IDS, vous pouvez voir plus d'un million d'alertes par jour. Les règles Suricata peuvent filtrer les vulnérabilités connues jusqu'à 200,000 XNUMX, mais à partir de là, vous devrez normalement créer une série de règles basées sur votre connaissance de l'environnement du client.
C’est un domaine où l’utilisation du machine learning (ML) appliqué aux données IDS peut réduire considérablement le nombre d’alertes à quelques-unes seulement. Au lieu de créer des règles de détection, vous pouvez exploiter le ML pour définir un comportement normal sur le réseau. Quand le client se connecte-t-il habituellement ? D’où se connecte-t-il ? Combien de temps reste-t-il connecté ? Au lieu de 200 000 alertes, les détections du ML peuvent réduire ce nombre à quelques-unes. La corrélation de ces informations entre tous vos outils de sécurité est nettement plus rapide et plus simple pour vous. SOC analyste à gérer.
Intégrations ouvertes – De plus, assurez-vous que le XDR vous envisagez est ouvert. Alors que les technologies de sécurité évoluent rapidement au cours des prochaines années, ces plates-formes vous aideront à éviter le verrouillage des fournisseurs. Cela vous aidera à maintenir votre capacité à vous adapter à l'évolution du paysage de la cybersécurité et aux besoins de vos clients.
Chez Stellar Cyber – nous pensons une API ou Open XDR est la meilleure voie à suivre – peu importe d'où vous venez et quels outils existants vous utilisez, et peu importe où vous voulez aller en termes de maturité de la sécurité. Pour nous, cela signifie que nous aidons à composer une stratégie qu'ils travaillent pour vous en tant qu'entreprise, ou vos clients en tant que MSSP, en tirant parti des investissements que vous avez tous les deux faits. Contactez-moi pour une discussion animée : ssalinas@stellarcyber.ai
