Originariamente pubblicato in
Quasi tutti i fornitori, dalle aziende di gateway di posta elettronica agli sviluppatori di piattaforme di intelligence sulle minacce, si stanno posizionando come XDR giocatore. Ma sfortunatamente, il rumore intorno XDR rende più difficile per gli acquirenti trovare soluzioni che potrebbero essere adatte a loro o, cosa ancora più importante, evitare quelle che non soddisfano le loro esigenze.
Stellar Cyber offre un Open XDR Una soluzione che consente alle organizzazioni di utilizzare qualsiasi strumento di sicurezza desiderino nel proprio stack, inviando avvisi e log a Stellar Cyber. L'approccio "aperto" di Stellar Cyber significa che la piattaforma può funzionare con qualsiasi prodotto. Di conseguenza, un team di sicurezza può apportare modifiche senza doversi chiedere se Stellar Cyber Open XDR la piattaforma continuerà a funzionare.
Stellar Cyber risponde alle esigenze dei team di sicurezza aziendali snelli fornendo funzionalità tipicamente presenti in NG-SIEM, NDR e prodotti SOAR nei loro Open XDR piattaforma, gestita da un'unica licenza. Questo consolidamento consente ai clienti di eliminare la complessità dello stack di sicurezza.
Stellar Cyber offre servizi ai clienti in tutti i principali settori, con clienti in Europa, Asia, Australia, Giappone, Corea del Sud e Africa, fornendo sicurezza per oltre 3 milioni di asset. Inoltre, dopo l'implementazione, Stellar Cyber afferma che gli utenti vedono un tempo medio di risposta (MTTR) fino a 20 volte più veloce, un'affermazione audace.
Rispondere a un incidente dalla home page
Accedendo a Stellar Cyber, la schermata iniziale è quella principale dell'analista, che mostra statistiche come gli incidenti più frequenti e gli asset più rischiosi. Un aspetto interessante di questa schermata è quello che Stellar Cyber chiama Open XDR Kill Chain. Cliccando su qualsiasi segmento della kill chain, ad esempio "Tentativi iniziali", vengono visualizzate le minacce associate a quella parte della catena di attacco.
Ad esempio, l'utente può vedere questi avvisi con la fase "Tentativi iniziali" impostata automaticamente da Stellar Cyber. L'utente può visualizzare ulteriori informazioni sull'avviso facendo clic su "Visualizza" su uno qualsiasi degli avvisi. Quindi, scorrendo lo schermo verso il basso, l'utente può fare clic sul collegamento ipertestuale "maggiori informazioni" per visualizzare ulteriori informazioni sull'avviso selezionato.
Qui un utente può leggere l'incidente, rivedere i dettagli e vedere i dati grezzi dietro questo incidente e il JSON, che è copiabile negli appunti, se necessario. Inoltre, facendo clic sul pulsante "Azioni", l'utente può visualizzare altre potenti funzionalità della piattaforma.
L'utente può eseguire azioni di risposta da questa schermata, ad esempio "aggiungere un filtro, attivare un'e-mail o intraprendere un'azione esterna. Facendo clic su un'azione esterna viene visualizzato un elenco di selezione aggiuntivo. L'utente può fare clic su Endpoint per visualizzare le opzioni di azione da host di contenimento a host di spegnimento.
Quando si fa clic su un'azione, ad esempio contiene host, viene visualizzata una finestra di dialogo di configurazione in cui l'utente può selezionare il connettore da utilizzare, la destinazione dell'azione e qualsiasi altra opzione richiesta per avviare l'azione scelta. In sintesi, gli analisti della sicurezza, in particolare quelli junior, troveranno questo flusso di lavoro molto utile in quanto possono a) rivedere rapidamente i dettagli di un incidente dalla schermata iniziale, b) vedere ancora più dettagli andando più a fondo nei dati e c) prendere un'azione correttiva da questa schermata senza scrivere script o codice.
L'azienda può aiutare a integrare nuovi analisti facendoli lavorare su questa visualizzazione per familiarizzare con la piattaforma, gestendo gli incidenti a bassa priorità in modo che altri analisti possano lavorare sugli incidenti più critici.
Esplorare gli incidenti
Invece di fare clic su Open XDR Kill Chain, se l'utente clicca su "Incidenti", viene visualizzata la schermata seguente.
Quando l'utente fa clic sulla carota nel cerchio blu, un elenco di filtri consente all'utente di concentrarsi su un tipo specifico di incidente. L'utente può andare direttamente al pulsante dei dettagli per vedere cosa c'è in questa vista dettagliata.
L'utente può vedere come questo incidente si è verificato e si è propagato su più risorse. Inoltre, l'utente può visualizzare automaticamente i file, i processi, gli utenti ei servizi associati all'incidente. Quindi, ad esempio, l'utente può passare alla visualizzazione della sequenza temporale per ottenere una cronologia leggibile di questo incidente.
E fai clic sulla piccola "i" per accedere alla schermata dei dettagli mostrata in precedenza.
In sintesi, gli analisti che sono abituati a lavorare da un elenco di avvisi potrebbero voler avviare le loro indagini dalla pagina degli incidenti. Questa visualizzazione è anche vantaggiosa in quanto mostra automaticamente tutti gli avvisi associati a questo incidente in un'unica visualizzazione.
Caccia alle minacce in Stellar Cyber
Gli utenti possono avviare una caccia alle minacce dalla schermata sopra. Le statistiche sullo schermo cambiano dinamicamente digitando un termine, ad esempio "accesso", nella finestra di dialogo di ricerca. Quindi, scorrendo lo schermo verso il basso, gli utenti possono visualizzare un elenco di avvisi filtrati in base al termine di ricerca.
Gli utenti possono creare una "ricerca di correlazione" nella finestra di dialogo di ricerca.
Gli utenti possono caricare una query salvata o aggiungere una nuova query. Facendo clic su Aggiungi query, l'utente può visualizzare questo generatore di query. Questo builder consente una ricerca nei datastore Stellar Cyber per le minacce che sono passate inosservate. Qui l'utente può anche accedere alla libreria di caccia alle minacce.
Infine, l'utente può creare azioni di risposta che vengono eseguite automaticamente se la query restituisce corrispondenze.
In sintesi, Stellar Cyber offre una semplice piattaforma di caccia alle minacce che non richiede agli utenti di creare il proprio stack ELK o di essere un potente scripter. Questa funzione è un modo semplice per aggiungere un elemento di ricerca delle minacce a un team di sicurezza senza assumere un cacciatore di minacce senior.
Conclusione
Stellar Cyber è una solida piattaforma per le operazioni di sicurezza con molte funzionalità che potrebbero aiutare un team di sicurezza a migliorare la produttività. Se nel mercato per un nuovo piattaforma SecOps e aperto ad adottare (in tutto o in parte) un nuovo approccio alla sicurezza, vale la pena guardare cosa offre Stellar Cyber. Per saperne di più su Stellar Cyber, prova il Tour del prodotto di 5 minuti.
