Per i fornitori di sicurezza e quelli nel XDR mercato specifico, esiste un asse architettonico di build vs.integra. Da un lato, ce l'hai "Costruisci / acquisisci tutto" – fornitori che sono integrati verticalmente e vogliono essere l'intero stack di sicurezza di un'azienda. Dall'altra parte, hai “Integrare con tutto” – fornitori che creano un singolo componente o API pensato per essere inserito in un'architettura più ampia. Ci sono pro e contro per entrambi gli approcci. Il campo "Costruisci / Acquisisci tutto" può collegare strettamente tutti i componenti insieme per creare un'esperienza di sicurezza coesa, ma lo fa a scapito della concentrazione e probabilmente non sarà il migliore. Il campo "Integrazione con tutto" si diletta nell'obiettivo offerto e può creare un prodotto fantastico con una portata minima, ma richiede che un determinato acquirente lo inserisca nel suo portafoglio di sicurezza più ampio.
In Stellar Cyber, adottiamo l'approccio di essere da qualche parte nel mezzo di questo asse architettonico: un equilibrio tra le capacità integrate (in particolare NDR, SIEM, Consiglio XDR motore di intelligenza artificiale) e le capacità con cui ci integriamo. Una delle classi di prodotti più importanti con cui integriamo è EDR. Abbiamo recentemente annunciato il Il primo EDR universale del settore, che è la capacità di portare qualsiasi EDR o EDR sulla nostra piattaforma e non solo li supportiamo, ma li miglioriamo garantendo al contempo un livello di fedeltà indipendentemente dalla scelta dell'EDR. In altre parole, consente agli utenti di ottenere il meglio dagli approcci integrati e integrati: offre un Integrazione EDR universale dove il prodotto da integrare è così strettamente integrato che si comporta come se fosse una parte nativa della piattaforma, ma la piattaforma rimane aperta.
Una delle maggiori sfide tecniche che abbiamo incontrato durante lo sviluppo di questa funzionalità è stata come generare costantemente avvisi ad alta fedeltà indipendentemente dal fornitore di EDR. Descriviamo il nostro approccio tecnico come “Percorsi di allerta” o le tecniche di elaborazione richieste per passare dai dati EDR di origine a un avviso ad alta fedeltà in Stellar Cyber. Ogni EDR è diverso, che era la base per la necessità di sviluppare un quadro per gestire efficacemente ogni EDR.
Il framework e i percorsi di avviso descritti di seguito sono funzionalità di back-end prontamente disponibili in Cyber stellare Open XDR Piattaforma.
Percorso di allerta 1 – "Arricchimento passthrough"
La tecnica "Arricchimento Passthrough" richiede avvisi dalla fonte Sistemi EDR, quindi arricchisce tali avvisi con informazioni aggiuntive sulle minacce e li allinea a MITRE ATT & CK. In un certo senso è come aggiungere un contesto aggiuntivo dopo aver riportato di nuovo la notizia, ma può essere molto efficace se alcuni avvisi particolari nella fonte EDR sono di altissima fedeltà. Tuttavia, nella nostra ricerca, questo approccio è nella migliore delle ipotesi solo parzialmente applicabile per qualsiasi dato EDR.
Percorso di avviso 2 – "Deduplicazione"
La tecnica di "Deduplicazione" applica il Machine Learning per identificare l'EDR di origine avvisi che sono duplicati e probabilmente fanno parte della stessa attività e genera un unico avviso all'interno di Stellar Cyber per migliorare l'automazione e le prestazioni degli analisti.
Percorso di avviso 3 – "Apprendimento automatico basato su eventi"
La tecnica "Machine Learning Event-Based" è la tecnicamente più impegnativa perché tutti i sorgenti EDR eventi e avvisi vengono elaborati tramite diversi modelli di avviso ML che generano nuovi avvisi all'interno di Stellar Cyber. Ciò richiede uno studio significativo dei dati e un solido processo di normalizzazione per ottenere risultati tra i fornitori di EDR.
Il nostro approccio all'EDR universale
Il nostro principio guida per la progettazione di questo framework è il risultato di sicurezza per l'utente finale. Poiché nessun EDR è lo stesso, ciò significa che applichiamo percorsi di avviso diversi a diversi sottoinsiemi di avvisi ed eventi in diversi prodotti EDR. Ad esempio, EDR 1 potrebbe avere 10% Passthrough, 50% Deduplication e 40% Machine Learning Event-Based, mentre per EDR 2 tali rapporti potrebbero essere rispettivamente 0%, 80% e 20%.
Per un'azienda che non costruisce un EDR interno, ci troviamo all'avanguardia della ricerca sulla sicurezza basata sugli endpoint. Questo è internamente eccitante per la frontiera stessa, ma soprattutto per ciò che significa per i nostri clienti. C'è ancora molto lavoro da fare e se sei interessato a unirti al nostro talentuoso team di sicurezza o ingegneria, dai un'occhiata al nostro aperture di lavoro.
