यूनिवर्सल ईडीआर के लिए तकनीकी दृष्टिकोण

सुरक्षा विक्रेताओं और उन लोगों के लिए XDR बाजार विशेष रूप से, बिल्ड बनाम इंटीग्रेट की एक वास्तुशिल्प धुरी है। एक छोर पर, आपके पास है "निर्माण / सब कुछ हासिल करें" - वेंडर जो लंबवत रूप से एकीकृत हैं और एक उद्यम का संपूर्ण सुरक्षा स्टैक बनना चाहते हैं। दूसरे छोर पर, आपके पास है "सब कुछ के साथ एकीकृत करें" - वेंडर जो एकल घटक या एपीआई का निर्माण करते हैं, उनका मतलब एक बड़े आर्किटेक्चर में शामिल होना है। दोनों दृष्टिकोणों के पक्ष और विपक्ष हैं। "बिल्ड / एक्वायर एवरीथिंग" शिविर एक समेकित सुरक्षा अनुभव बनाने के लिए सभी घटकों को एक साथ तार कर सकता है, लेकिन वे ध्यान केंद्रित होने की कीमत पर ऐसा करते हैं और संभवतः सबसे अच्छी नस्ल नहीं होगी। "सब कुछ के साथ एकीकृत करें" शिविर उनके वहन किए गए फोकस में रहस्योद्घाटन करता है और न्यूनतम दायरे के साथ एक शानदार उत्पाद का निर्माण कर सकता है, लेकिन उन्हें अपने व्यापक सुरक्षा पोर्टफोलियो में ले जाने के लिए एक निश्चित खरीदार की आवश्यकता होती है।

स्टेलर साइबर में, हम इस वास्तु अक्ष के बीच में कहीं होने का दृष्टिकोण लेते हैं - अंतर्निहित क्षमताओं के बीच एक संतुलन (विशेषकर NDR, SIEM, सुझाव, और XDR एआई इंजन) और क्षमताएं जिन्हें हम एकीकृत करते हैं। सबसे महत्वपूर्ण उत्पाद वर्गों में से एक जिसे हम एकीकृत करते हैं वह है ईडीआर। हमने हाल ही में घोषणा की थी उद्योग का पहला यूनिवर्सल ईडीआर, जो किसी भी ईडीआर या ईडीआर को हमारे मंच पर लाने की क्षमता है, और हम न केवल उनका समर्थन करते हैं, बल्कि हम ईडीआर पसंद की परवाह किए बिना निष्ठा के स्तर को सुनिश्चित करते हुए उन्हें बेहतर बनाते हैं। दूसरे शब्दों में, यह उपयोगकर्ताओं को सर्वोत्तम अंतर्निहित और एकीकृत दृष्टिकोण प्राप्त करने में सक्षम बनाता है - यह एक प्रदान करता है यूनिवर्सल ईडीआर एकीकरण जहां एकीकृत किया जा रहा उत्पाद इतनी मजबूती से एकीकृत है कि यह ऐसा व्यवहार करता है जैसे कि यह प्लेटफॉर्म का एक मूल हिस्सा था, फिर भी प्लेटफॉर्म खुला रहता है।

इस क्षमता को विकसित करते समय हमारे सामने सबसे बड़ी तकनीकी चुनौतियों में से एक यह थी कि ईडीआर विक्रेता की परवाह किए बिना लगातार उच्च-निष्ठा अलर्ट कैसे उत्पन्न किया जाए। हम अपने तकनीकी दृष्टिकोण का वर्णन इस प्रकार करते हैं: "अलर्ट पाथवे" या तारकीय साइबर में स्रोत ईडीआर डेटा से उच्च-निष्ठा चेतावनी में जाने के लिए आवश्यक प्रसंस्करण तकनीकें। हर एक EDR अलग है, जो प्रत्येक ईडीआर को प्रभावी ढंग से संभालने के लिए एक रूपरेखा विकसित करने की आवश्यकता का आधार था।

नीचे वर्णित फ्रेमवर्क और अलर्ट पाथवे में आसानी से उपलब्ध बैकएंड विशेषताएं हैं स्टेलर साइबर Open XDR मंच.

चेतावनी मार्ग 1 - "पासथ्रू संवर्धन"

"पासथ्रू संवर्धन" तकनीक लेता है अलर्ट स्रोत से ईडीआर सिस्टम, फिर उन अलर्ट को अतिरिक्त खतरे की खुफिया जानकारी के साथ समृद्ध करता है और उन्हें संरेखित करता है MITER ATT और CK. एक तरह से यह समाचारों को फिर से रिपोर्ट करने के बाद कुछ अतिरिक्त संदर्भ जोड़ने जैसा है, लेकिन स्रोत में कुछ विशेष अलर्ट होने पर यह अत्यधिक प्रभावी हो सकता है EDR उच्चतम निष्ठा के हैं। हालांकि, हमारे शोध में, यह दृष्टिकोण किसी दिए गए के लिए केवल आंशिक रूप से लागू होता है EDR.

अलर्ट पाथवे 2 - "डिडुप्लीकेशन"

स्रोत EDR की पहचान करने के लिए "डिडुप्लीकेशन" तकनीक मशीन लर्निंग को लागू करती है अलर्ट जो एक ही गतिविधि का दोहराव और संभावित हिस्सा हैं, और ऑटोमेशन और विश्लेषक के प्रदर्शन को बेहतर बनाने के लिए स्टेलर साइबर के भीतर एकल अलर्ट उत्पन्न करते हैं।

अलर्ट पाथवे 3 - "मशीन लर्निंग इवेंट-आधारित"

"मशीन लर्निंग इवेंट-आधारित" तकनीक सबसे तकनीकी रूप से चुनौतीपूर्ण है क्योंकि सभी स्रोत EDR घटनाओं और अलर्ट विभिन्न एमएल अलर्ट मॉडल के माध्यम से संसाधित किए जाते हैं जो स्टेलर साइबर के भीतर नए नए अलर्ट उत्पन्न करते हैं। इसके लिए महत्वपूर्ण डेटा अध्ययन और ईडीआर विक्रेताओं को आकर्षित करने के लिए एक मजबूत सामान्यीकरण प्रक्रिया की आवश्यकता है।

यूनिवर्सल ईडीआर के लिए हमारा दृष्टिकोण

इस ढांचे को डिजाइन करने के लिए हमारा मार्गदर्शक सिद्धांत अंतिम उपयोगकर्ता के लिए सुरक्षा परिणाम है। चूंकि कोई भी EDR समान नहीं है, इसका मतलब है कि हम अलग-अलग EDR उत्पादों में अलर्ट और ईवेंट के अलग-अलग सबसेट के लिए अलग-अलग अलर्ट पाथवे लागू करते हैं। उदाहरण के लिए, EDR 1 में 10% पासथ्रू, 50% डिडुप्लीकेशन और 40% मशीन लर्निंग इवेंट-आधारित हो सकता है, जबकि EDR 2 के लिए वे अनुपात क्रमशः 0%, 80% और 20% हो सकते हैं।

एक ऐसी कंपनी के लिए जो इन-हाउस ईडीआर का निर्माण नहीं करती है, हम खुद को एंडपॉइंट-आधारित सुरक्षा अनुसंधान के खून बहने वाले किनारे पर पाते हैं। यह सीमांत के लिए आंतरिक रूप से रोमांचक है, लेकिन सबसे महत्वपूर्ण बात यह है कि हमारे ग्राहकों के लिए इसका क्या अर्थ है। अभी बहुत कुछ किया जाना बाकी है, और यदि आप हमारी प्रतिभाशाली सुरक्षा या इंजीनियरिंग टीम में शामिल होने के इच्छुक हैं, तो कृपया हमारी जाँच करें नौकरी की रिक्तियां.