Publié à l'origine dans
Presque tous les fournisseurs, des entreprises de passerelles de messagerie aux développeurs de plateformes de veille sur les menaces, se positionnent comme un XDR joueur. Mais malheureusement, le bruit autour XDR cela rend plus difficile pour les acheteurs de trouver des solutions qui pourraient leur convenir ou, plus important encore, d'éviter celles qui ne répondent pas à leurs besoins.
Stellar Cyber offre un Open XDR Stellar Cyber est une solution qui permet aux organisations d'utiliser les outils de sécurité de leur choix au sein de leur infrastructure, en centralisant les alertes et les journaux dans Stellar Cyber. Grâce à son approche ouverte, la plateforme Stellar Cyber est compatible avec tous les produits. Ainsi, une équipe de sécurité peut effectuer des modifications sans craindre d'impacter la compatibilité avec Stellar Cyber. Open XDR La plateforme restera fonctionnelle.
Stellar Cyber répond aux besoins des équipes de sécurité d'entreprise allégées en fournissant des capacités généralement présentes dans NG-SIEM, NDR et produits SOAR dans leurs Open XDR Une plateforme gérée par une licence unique. Cette consolidation permet aux clients d'éliminer la complexité de leur infrastructure de sécurité.
Stellar Cyber dessert des clients dans tous les principaux secteurs, avec des clients en Europe, en Asie, en Australie, au Japon, en Corée du Sud et en Afrique, assurant la sécurité de plus de 3 millions d'actifs. De plus, Stellar Cyber affirme qu'après le déploiement, les utilisateurs voient un temps moyen de réponse (MTTR) jusqu'à 20 fois plus rapide, une affirmation audacieuse.
Répondre à un incident depuis la page d'accueil
Lorsqu'on se connecte à Stellar Cyber, l'écran initial est l'écran d'accueil de l'analyste, affichant des statistiques telles que les principaux incidents et les actifs les plus risqués. Un élément intéressant de cet écran est ce que Stellar Cyber appelle le Open XDR Chaîne d'attaque. Cliquer sur un segment de la chaîne d'attaque, tel que « Tentatives initiales », affiche les menaces associées à cette partie de la chaîne d'attaque.
Par exemple, l'utilisateur peut voir ces alertes avec l'étape "Tentatives initiales" définie automatiquement par Stellar Cyber. L'utilisateur peut voir plus d'informations sur l'alerte en cliquant sur "Afficher" sur l'une des alertes. Ensuite, en faisant défiler l'écran vers le bas, l'utilisateur peut cliquer sur le lien hypertexte "plus d'informations" pour voir plus d'informations sur l'alerte sélectionnée.
Ici, un utilisateur peut lire sur l'incident, examiner les détails et voir les données brutes derrière cet incident et le JSON, qui peut être copié dans un presse-papiers si nécessaire. De plus, en cliquant sur le bouton "Actions", l'utilisateur peut voir d'autres fonctionnalités puissantes de la plateforme.
L'utilisateur peut prendre des mesures de réponse à partir de cet écran, telles que "ajouter un filtre, déclencher un e-mail ou effectuer une action externe". Cliquer sur une action externe affiche une liste de sélection supplémentaire. L'utilisateur peut cliquer sur Endpoint pour voir les options d'action de contenir l'hôte à arrêter l'hôte.
Lorsque vous cliquez sur une action, comme contenir l'hôte, une boîte de dialogue de configuration s'affiche dans laquelle l'utilisateur peut sélectionner le connecteur à utiliser, la cible de l'action et toute autre option requise pour lancer l'action choisie. En résumé, les analystes de la sécurité, en particulier les juniors, trouveront ce flux de travail très utile dans la mesure où ils peuvent a) examiner rapidement les détails d'un incident à partir de l'écran d'accueil, b) voir encore plus de détails en approfondissant les données, et c) prendre une action de correction à partir de cet écran sans écrire de scripts ou de code.
L'entreprise peut aider à intégrer de nouveaux analystes en les faisant travailler sur cette vue pour les familiariser avec la plate-forme, en gérant les incidents de faible priorité afin que d'autres analystes puissent travailler sur les incidents les plus critiques.
Explorer les incidents
Au lieu de cliquer sur le Open XDR Dans Kill Chain, si l'utilisateur clique sur « Incidents », l'écran ci-dessous s'affiche.
Lorsque l'utilisateur clique sur la carotte dans le cercle bleu, une liste de filtrage permet à l'utilisateur de se concentrer sur un type d'incident spécifique. L'utilisateur peut accéder directement au bouton de détails pour voir ce qui se trouve dans cette vue détaillée.
L'utilisateur peut voir comment cet incident s'est produit et s'est propagé à travers plusieurs actifs. De plus, l'utilisateur peut voir automatiquement les fichiers, processus, utilisateurs et services associés à l'incident. Ainsi, par exemple, l'utilisateur peut passer à la vue chronologique pour obtenir un historique lisible de cet incident.
Et cliquez sur le petit "i" pour accéder à l'écran de détail affiché précédemment.
En résumé, les analystes habitués à travailler à partir d'une liste d'alertes peuvent souhaiter commencer leurs investigations à partir de la page des incidents. Cette vue est également avantageuse car elle affiche automatiquement toutes les alertes associées à cet incident dans une seule vue.
Chasse aux menaces dans Stellar Cyber
Les utilisateurs peuvent lancer une chasse aux menaces à partir de l'écran ci-dessus. Les statistiques à l'écran changent de manière dynamique en saisissant un terme, tel que "connexion", dans la boîte de dialogue de recherche. Ensuite, en faisant défiler l'écran, les utilisateurs peuvent voir une liste d'alertes filtrées en fonction du terme de recherche.
Les utilisateurs peuvent créer une « recherche de corrélation » dans la boîte de dialogue de recherche.
Les utilisateurs peuvent charger une requête enregistrée ou ajouter une nouvelle requête. En cliquant sur la requête d'ajout, l'utilisateur peut voir ce générateur de requêtes. Ce constructeur permet une recherche dans les magasins de données Stellar Cyber pour les menaces qui sont passées inaperçues. Ici, l'utilisateur peut également accéder à la bibliothèque de chasse aux menaces.
Enfin, l'utilisateur peut créer des actions de réponse qui s'exécutent automatiquement si la requête renvoie des correspondances.
En résumé, Stellar Cyber offre une plate-forme simple de chasse aux menaces qui n'oblige pas les utilisateurs à créer leur propre pile ELK ou à être un scripteur puissant. Cette fonctionnalité est un moyen simple d'ajouter un élément de chasse aux menaces à une équipe de sécurité sans embaucher un chasseur de menaces senior.
Conclusion
Stellar Cyber est une plate-forme d'opérations de sécurité solide avec de nombreuses fonctionnalités qui pourraient aider une équipe de sécurité à améliorer sa productivité. Si vous êtes à la recherche d'un nouveau Plateforme SecOps et ouvert à adopter (en tout ou en partie) une nouvelle approche de la sécurité, il vaut la peine de regarder ce que propose Stellar Cyber. Pour en savoir plus sur Stellar Cyber, essayez le Visite du produit en 5 minutes.
