Au cœur du pipeline de données de Stellar Cyber : le moteur caché d'une sécurité plus intelligente

By /

Sécurité basée sur l'IA, Cybersécurité, Technologie informatique, MSSP, Sécurité de réseau, Open XDR, Open XDR Plateforme complète

Préface

modernité SOCLes entreprises sont submergées par le volume et la complexité des données. La capacité à filtrer, normaliser, enrichir et acheminer les données de sécurité à grande échelle sans perte de qualité a un impact direct sur la précision de la détection, l'efficacité des analystes et la conformité réglementaire. Consciente de l'importance des défis et des besoins liés aux données, Stellar Cyber ​​considère son pipeline de données non pas comme une option supplémentaire, mais comme une fonctionnalité essentielle de son offre. Plateforme SecOps pilotée par l'IA Depuis sa création. Ce livre blanc décrit les fondements techniques du pipeline de Stellar Cyber ​​et comment son architecture unique aide les équipes de sécurité à unifier leurs sources de données, à réduire le bruit et à accélérer la réponse aux incidents.

Introduction : Au-delà des pipelines de données

Alors que certains produits se concentrent uniquement sur la collecte et le transfert de données, Stellar Cyber ​​intègre une plateforme complète d'opérations de sécurité, avec en son cœur un pipeline de données sophistiqué. Ce pipeline ne se contente pas d'ingérer et de transporter des données ; il les transforme grâce à un processus en plusieurs étapes. filtre, normalise, enrichit, corrèle et achemine les données vers un stockage approprié pour les flux de travail de détection et de réponse et vers un stockage de sauvegarde comme S3Cela permet une véritable visibilité, détection et action de bout en bout.

Principes fondamentaux du pipeline de données cybernétiques Stellar

Pour offrir une visibilité complète sur l'ensemble de la surface d'attaque d'une organisation, la solution Stellar Cyber ​​propose plusieurs méthodes de collecte de données. Elle peut collecter les journaux et la télémétrie réseau grâce à ses capteurs modulaires distribués, s'intégrer à de nombreuses applications via leurs API natives et déployer des serveurs. capteur pour capturer des données à partir de serveurs Linux et Windows.

1. Filtrage du trafic en périphérie

Contrairement aux outils qui filtrent uniquement au point d'ingestion, dans un emplacement central, les capteurs de Stellar Cyber ​​appliquent des filtres de trafic et d'application avant que les données ne quittent la source. Les événements qui atteignent le pipeline sont immédiatement traités par des redirecteurs avancés. Ils appliquent des règles de filtrage précises à grande échelle afin que seules les données nécessaires à la conformité, à la détection ou à l'analyse soient conservées. Ce filtrage pré-ingestion :
  • Supprime les événements non pertinents de manière précoce (réduction du bruit sur le bord).
  • Réduit les besoins en bande passante et en stockage en supprimant les journaux non critiques à l’avance.
  • Offre une flexibilité en prenant en charge le filtrage basé sur des politiques en fonction du type d'application, du port, du protocole ou des règles personnalisées.

2. Normalisation entre diverses sources

Le moteur de normalisation Interflow standardise les formats et schémas de journaux provenant de nombreuses sources disparates. Cela permet :

  • Détection automatisée via Machine Learning ou règles
  • Corrélation automatisée des alertes individuelles dans les cas via des artefacts normalisés.
  • Enrichissement cohérent pour la contextualisation
  • Analyses rapides en aval sans analyse répétée.
  • Tableaux de bord, rapports et enquêtes précis et faciles à comprendre.

3. Enrichissement contextuel en temps réel lors de l'ingestion

Alors que les données affluaient vers le Stellar Cyber Open XDR Plateforme enrichie en ligne en temps réel, et non après ingestion, elle offre une télémétrie à contexte élevé pour permettre une détection et une réponse rapides et précises.

Les dimensions clés de l’enrichissement comprennent :
  • Recherches GeoIP et ASN : Ajoute instantanément des données de pays, de ville et de système autonome à chaque événement avec des adresses IP.
  • Intelligence sur les menaces en temps réel : Corrélation avec plusieurs flux de renseignements sur les menaces (commerciales, open source et définies par le client), en appliquant une notation des risques en temps réel.
  • Résolution des utilisateurs et des entités : Mappe les journaux et le trafic vers les identités humaines et machines via Active Directory, Okta, les systèmes IAM et les inventaires d'actifs.
  • Identification de l'application : Le moteur d'inspection approfondie des paquets (DPI) et l'empreinte digitale des applications améliorent la clarté des événements au-delà des heuristiques basées sur les ports.
  • Balisage personnalisé et injection de contexte : Les administrateurs peuvent injecter un contexte spécifique à l'entreprise (par exemple, la criticité des actifs, la fonction, les zones de conformité) dans le flux de données.
Cet enrichissement approfondi et en ligne garantit que chaque alerte et enquête commence par un contexte riche et exploitable tel que où, quand, qui, quoi, minimisant ainsi le temps de triage, augmentant la précision de la détection et permettant une analyse plus rapide des causes profondes.

4. Masquage et rédaction des PII/PHI

Le pipeline inclut des filtres basés sur des expressions régulières et des fonctions de masquage pour masquer automatiquement les champs sensibles, tels que les informations personnelles identifiables ou les informations de santé protégées. Cela permet aux organisations de respecter les exigences réglementaires tout en exploitant les données pour l'analyse de sécurité.

5. Routage et multiplexage

Grâce aux profils de routage, les événements enrichis peuvent être envoyés simultanément à plusieurs destinations (SIEM(par exemple, tout lac de données compatible S3 ou Snowflake, système de billetterie ou cluster analytique). Cela permet aux équipes de :
  • Évitez le verrouillage fournisseur.
  • Répondez à divers besoins de stockage, de conformité ou d’analyse.
  • Nourrissez des équipes ou des outils distincts sans dupliquer les efforts d’ingestion.

6. Détection et déduplication des anomalies en temps réel

Les modules de détection d'anomalies en ligne et de ML post-ingestion identifient les valeurs aberrantes dès l'arrivée des données. La déduplication et l'agrégation réduisent encore davantage le volume de données sans compromettre la fidélité, ce qui est idéal pour les environnements à EPS élevé et à plusieurs téraoctets par jour.

7. Architecture MSSP multi-locataire

Dès sa création, Stellar Cyber ​​a intégré des fonctionnalités multi-locataires à sa plateforme. Les MSSP peuvent gérer plusieurs clients en toute sécurité grâce à une isolation complète des données, différentes options de stockage, des périodes de conservation, des politiques et des rapports variés, etc. Cela leur permet de proposer différentes options pour répondre aux besoins de leurs clients.

8. Intégration de la plateforme native

Le pipeline fait partie intégrante de l'architecture native de Stellar Cyber, sans ajout ni dépendance tierce. Cela garantit :
  • Latence plus faible.
  • Mises à jour et évolutivité plus rapides.
  • Posture de sécurité et de conformité cohérente
  • Boucle de rétroaction immédiate entre le post-traitement et le moteur de données.

9. Flexibilité de la migration des données

Stellar Cyber ​​prend en charge la migration depuis les versions précédentes SIEMdes nouveaux lacs de données ou plateformes analytiques utilisant des connecteurs et des profils de routage, préservant la continuité et évitant des projets de remplacement coûteux.

Évolutivité et maturité

L'architecture de pipeline de Stellar Cyber ​​a fait ses preuves lors de déploiements mondiaux de plusieurs téraoctets par jour. Nos clients peuvent ainsi facilement gérer des dizaines de milliers de terminaux et des dizaines de sources de données sans goulot d'étranglement. La maturité de la plateforme permet aux équipes de sécurité de déployer rapidement, d'intégrer largement le pipeline et de lui faire confiance en production.

Pourquoi le pipeline de données de Stellar Cyber ​​est important

Le pipeline étant intégré à une plateforme SecOps pilotée par l'IA, les analystes bénéficient non seulement de données propres, mais aussi de fonctions automatisées de détection, d'investigation et de réponse, le tout depuis un environnement unifié. Cela signifie :
  • MTTR plus rapide.
  • Meilleure efficacité des analystes.
  • Coûts d'infrastructure réduits.
  • Visibilité complète de l'ingestion à la remédiation.

Conclusion

Le pipeline de données de Stellar Cyber ​​est bien plus qu'un simple mécanisme de transport ; il constitue l'épine dorsale d'une plateforme d'opérations de sécurité unifiée et basée sur l'IA. En filtrant à la source, en normalisant les données provenant de flux divers, en les enrichissant de contexte et en les acheminant de manière flexible, Stellar Cyber ​​permet de… SOC Des équipes capables d'opérer à grande échelle, de faire abstraction du bruit ambiant et de réagir plus rapidement aux menaces.

Articles similaires

Remonter en haut
Inscrivez-vous aux newsletters