All'interno della pipeline dati di Stellar Cyber: il motore nascosto dietro una sicurezza più intelligente

By /

Sicurezza basata sull'intelligenza artificiale, Cybersecurity, Tecnologia IT, MSSP, Sicurezza di rete, Open XDR, Open XDR Piattaforma

Sintesi

Moderno SOCsono sopraffatti dal volume e dalla complessità dei dati. La capacità di filtrare, normalizzare, arricchire e instradare i dati di sicurezza su larga scala senza perdere fedeltà ha un impatto diretto sulla precisione del rilevamento, sull'efficienza degli analisti e sulla conformità. Con la piena comprensione dell'importanza delle sfide e delle esigenze dei dati in termini di tale capacità, la pipeline di dati di Stellar Cyber ​​non è un componente aggiuntivo, ma una funzionalità fondamentale del nostro team. Piattaforma SecOps basata sull'intelligenza artificiale fin dall'inizio. Questo white paper illustra le basi tecniche della pipeline di Stellar Cyber ​​e il modo in cui la sua architettura unica aiuta i team di sicurezza a unificare le fonti di dati, ridurre il rumore e accelerare la risposta agli incidenti.

Introduzione: oltre le pipeline di dati

Mentre alcuni prodotti si concentrano solo sulla raccolta e lo spostamento dei dati, Stellar Cyber ​​integra una piattaforma completa per le operazioni di sicurezza con al suo interno una pipeline di dati altamente ingegnerizzata. Questa pipeline non si limita a ingerire e trasportare i dati, ma li trasforma attraverso un processo in più fasi. filtra, normalizza, arricchisce, correla e indirizza i dati verso un archivio appropriato per i flussi di lavoro di rilevamento e risposta e verso un archivio di backup come S3Ciò consente una reale visibilità, rilevamento e azione end-to-end.

Principi fondamentali della pipeline di dati informatici stellari

Per offrire una visibilità pervasiva sull'intera superficie di attacco di un'organizzazione, la soluzione di Stellar Cyber ​​offre molteplici metodi di raccolta dati. Può raccogliere log e dati di telemetria di rete attraverso i suoi sensori modulari distribuiti, integrarsi con numerose applicazioni tramite le loro API native e distribuire server. sensore per acquisire dati da server Linux e Windows.

1. Filtraggio del traffico al limite

A differenza degli strumenti che filtrano solo nel punto di acquisizione in una posizione centrale, i sensori di Stellar Cyber ​​applicano filtri di traffico e applicazioni prima che i dati lascino la sorgente. Gli eventi che raggiungono la pipeline vengono elaborati immediatamente da Forwarder avanzati. Applicano regole di filtraggio dettagliate su larga scala, in modo che vengano conservati solo i dati necessari per la conformità, il rilevamento o l'analisi. Questo filtraggio pre-acquisizione:
  • Rimuove in anticipo gli eventi irrilevanti (riduzione del rumore ai bordi).
  • Riduce i requisiti di larghezza di banda e di archiviazione scartando in anticipo i log non critici.
  • Fornisce flessibilità supportando il filtraggio basato su policy in base al tipo di applicazione, alla porta, al protocollo o alle regole personalizzate.

2. Normalizzazione tra diverse fonti

Il motore di normalizzazione Interflow standardizza i formati e gli schemi dei log provenienti da numerose fonti diverse. Ciò consente:

  • Rilevamento automatico tramite apprendimento automatico o regole
  • Correlazione automatizzata di singoli avvisi in casi tramite artefatti normalizzati.
  • Arricchimento coerente per la contestualizzazione
  • Analisi downstream rapide senza analisi ripetute.
  • Dashboard, report e indagini precisi e facili da comprendere.

3. Arricchimento contestuale in tempo reale all'ingestione

Mentre i dati fluiscono nel Cyber ​​Stellar Open XDR piattaforma, viene arricchita in linea in tempo reale, non dopo l'inserimento, fornendo telemetria ad alto contesto per favorire un rilevamento e una risposta rapidi e accurati.

Le dimensioni chiave dell'arricchimento includono:
  • Ricerche GeoIP e ASN: Aggiunge istantaneamente dati su paese, città e sistema autonomo a ogni evento con IP.
  • Intelligence sulle minacce in tempo reale: Si correla con più feed di informazioni sulle minacce (commerciali, open source e definiti dal cliente), applicando un punteggio di rischio in tempo reale.
  • Risoluzione utente ed entità: Mappa i registri e il traffico verso identità umane e macchine tramite Active Directory, Okta, sistemi IAM e inventari delle risorse.
  • Identificazione dell'applicazione: Il motore Deep Packet Inspection (DPI) e l'impronta digitale delle applicazioni migliorano la chiarezza degli eventi oltre l'euristica basata sulle porte.
  • Tagging personalizzato e iniezione di contesto: Gli amministratori possono inserire nel flusso di dati un contesto aziendale specifico (ad esempio, criticità delle risorse, funzione, zone di conformità).
Questo arricchimento profondo e in linea garantisce che ogni avviso e indagine inizi con un contesto ricco e fruibile, come dove, quando, chi, cosa, riducendo al minimo i tempi di triage, aumentando la precisione del rilevamento e consentendo un'analisi più rapida delle cause profonde.

4. Mascheramento e redazione di PII/PHI

La pipeline include filtri basati su espressioni regolari e funzionalità di mascheramento per oscurare automaticamente campi sensibili come informazioni sanitarie personali o protette. Questo aiuta le organizzazioni a soddisfare i requisiti normativi, continuando a sfruttare i dati per l'analisi della sicurezza.

5. Routing e multiplexing

Con i profili di routing, gli eventi arricchiti possono essere inviati a più destinazioni contemporaneamente (SIEMs, qualsiasi data lake compatibile con S3 o Snowflake, sistemi di ticketing o cluster di analisi). Ciò consente ai team di:
  • Evita di vincolarti al fornitore.
  • Soddisfa diverse esigenze di archiviazione, conformità o analisi.
  • Fornire risorse a team o strumenti separati senza duplicare gli sforzi di acquisizione.

6. Rilevamento delle anomalie in tempo reale e deduplicazione

Il rilevamento delle anomalie in linea e i moduli di ML post-inserimento identificano i valori anomali all'arrivo dei dati. La deduplicazione e l'aggregazione riducono ulteriormente il volume dei dati senza sacrificare la fedeltà, ideale per ambienti con EPS elevati e multi-terabyte/giorno.

7. Architettura MSSP multi-tenant

Fin dall'inizio, Stellar Cyber ​​ha integrato funzionalità multi-tenant nella sua piattaforma. Gli MSSP possono gestire in modo sicuro più clienti con un isolamento completo dei dati, diverse opzioni di archiviazione, diversi periodi di conservazione, policy e reporting, ecc. Questo offre agli MSSP il controllo necessario per offrire diverse opzioni per soddisfare le esigenze dei propri clienti.

8. Integrazione della piattaforma nativa

La pipeline fa parte dell'architettura nativa di Stellar Cyber, senza componenti aggiuntivi o dipendenze di terze parti. Questo garantisce:
  • Bassa latenza.
  • Aggiornamenti più rapidi e scalabilità.
  • Postura coerente di sicurezza e conformità
  • Ciclo di feedback immediato tra la post-elaborazione e il motore dati.

9. Flessibilità nella migrazione dei dati

Stellar Cyber ​​supporta la migrazione da legacy SIEMverso nuovi data lake o piattaforme di analisi utilizzando connettori e profili di routing, preservando la continuità ed evitando costosi progetti di sostituzione e smantellamento.

Scalabilità e maturità

L'architettura della pipeline di Stellar Cyber ​​ha dato prova di sé in implementazioni globali con volumi di lavoro di diversi terabyte al giorno. I clienti scalano regolarmente fino a decine di migliaia di endpoint e decine di fonti dati senza colli di bottiglia. La maturità della piattaforma consente ai team di sicurezza di implementare rapidamente, integrare ampiamente e affidarsi alla pipeline in produzione.

Perché la pipeline dati di Stellar Cyber ​​è importante

Poiché la pipeline è integrata in una piattaforma SecOps basata sull'intelligenza artificiale, gli analisti ottengono non solo dati puliti, ma anche rilevamento, indagine e risposta automatizzati, il tutto gestito da un unico ambiente unificato. Ciò significa:
  • MTTR più veloce.
  • Maggiore efficienza degli analisti.
  • Riduzione dei costi infrastrutturali.
  • Visibilità completa dall'ingestione alla bonifica.

Conclusione

La pipeline di dati di Stellar Cyber ​​è più di un semplice meccanismo di trasporto: è la spina dorsale di una piattaforma unificata per le operazioni di sicurezza basata sull'intelligenza artificiale. Filtrando alla fonte, normalizzando i dati su diversi feed, arricchendoli con il contesto e instradandoli in modo flessibile, Stellar Cyber ​​potenzia SOC ai team di operare su larga scala, distinguersi e rispondere più rapidamente alle minacce.

Post correlati

Scorrere fino a Top
Iscriviti alle newsletter