Stellar Cyber​​のデータパイプライン:よりスマートなセキュリティを支える隠れたエンジン

By /

AIを活用したセキュリティ, Cybersecurity , IT技術, MSSP, ネットワークセキュリティー, Open XDR, Open XDR Platform

エグゼクティブサマリー

モダン SOC企業はデータ量と複雑さに圧倒されています。セキュリティデータを忠実性を損なうことなく大規模にフィルタリング、正規化、拡充、ルーティングする能力は、検知精度、アナリストの効率性、そしてコンプライアンス体制に直接影響を及ぼします。データ課題の重要性とこうした能力の必要性を十分に理解した上で、Stellar Cyber​​のデータパイプラインは単なるアドオンではなく、当社の中核的な機能となっています。 AI駆動型SecOpsプラットフォーム このホワイトペーパーでは、Stellar Cyber​​のパイプラインの技術的基盤と、その独自のアーキテクチャがセキュリティチームのデータソース統合、ノイズの削減、インシデント対応の迅速化にどのように役立つかを概説します。

はじめに: データパイプラインを超えて

一部の製品はデータの収集と移動のみに焦点を当てていますが、Stellar Cyber​​は、綿密に設計されたデータパイプラインを中核とする包括的なセキュリティ運用プラットフォームを統合しています。このパイプラインは、単にデータを取り込み転送するだけでなく、複数のステップを経てデータを変換します。 フィルタリング、正規化、強化、相関付けを行い、検出および対応ワークフローに適したストレージや S3 などのバックアップ ストレージにルーティングします。これにより、真のエンドツーエンドの可視性、検出、およびアクションが可能になります。

Stellar Cyber​​ Data Pipelineの基本原則

Stellar Cyber​​のソリューションは、組織の攻撃対象領域全体にわたる包括的な可視性を提供するために、複数のデータ収集方法を提供しています。分散型モジュールセンサーを通じてログやネットワークテレメトリを収集し、ネイティブAPIを介して多数のアプリケーションと統合し、サーバーを展開することができます。 センサー Linux サーバーと Windows サーバーの両方からデータをキャプチャします。

1. エッジでのトラフィックフィルタリング

中央の取り込みポイントでのみフィルタリングを行うツールとは異なり、Stellar Cyber​​のセンサーは、データがソースから送信される前にトラフィックとアプリケーションにフィルタリングを適用します。パイプラインに到達したイベントは、高度なフォワーダーによって即座に処理されます。フォワーダーはきめ細かなフィルタリングルールを大規模に適用し、コンプライアンス、検知、分析に必要なデータのみを保持します。この取り込み前フィルタリングは、以下のことを実現します。
  • 無関係なイベントを早期に削除 (エッジ部分のノイズ低減)。
  • 帯域幅とストレージ要件を低減 重要でないログを事前に破棄することによって。
  • ポリシー駆動型フィルタリングをサポートすることで柔軟性を実現 アプリケーションの種類、ポート、プロトコル、またはカスタム ルールに基づきます。

2. 多様な情報源にわたる正規化

Interflow正規化エンジンは、多数の異なるソースからのログ形式とスキーマを標準化します。これにより、次のことが可能になります。

  • 機械学習またはルールによる自動検出
  • 正規化されたアーティファクトを通じて、個々のアラートをケースに自動的に関連付けます。
  • 文脈化のための一貫した強化
  • 解析を繰り返さずにダウンストリーム分析を高速化します。
  • 正確でわかりやすいダッシュボード、レポート、調査。

3. 取り込み時のリアルタイムのコンテキストエンリッチメント

データがStellar Cyber​​に流れ込むと Open XDR プラットフォームでは、取り込み後ではなくリアルタイムでインラインで強化され、コンテキストの高いテレメトリが提供され、迅速かつ正確な検出と対応が可能になります。

主要な強化の側面は次のとおりです。
  • GeoIP および ASN ルックアップ: IP を持つすべてのイベントに国、都市、自律システム データを即座に追加します。
  • リアルタイムの脅威インテリジェンス: 複数の脅威インテリジェンス フィード (商用、オープン ソース、顧客定義) と相関し、リアルタイムのリスク スコアリングを適用します。
  • ユーザーとエンティティの解決: Active Directory、Okta、IAM システム、資産インベントリを介して、ログとトラフィックを人間とマシンの ID にマッピングします。
  • アプリケーション識別: ディープ パケット インスペクション (DPI) エンジンとアプリケーション フィンガープリンティングにより、ポートベースのヒューリスティックを超えてイベントの明確さが向上します。
  • カスタムタグ付けとコンテキストインジェクション: 管理者は、ビジネス固有のコンテキスト (資産の重要度、機能、コンプライアンス ゾーンなど) をデータ ストリームに挿入できます。
この詳細なインライン エンリッチメントにより、すべてのアラートと調査が、場所、時間、担当者、内容などの豊富で実用的なコンテキストから開始されるようになり、トリアージ時間が最小限に抑えられ、検出精度が向上し、根本原因の分析が迅速化されます。

4. マスキングとPII/PHI編集

パイプラインには、正規表現ベースのフィルターとマスキング機能が含まれており、個人識別情報や保護された健康情報などの機密フィールドを自動的に編集できます。これにより、組織は規制要件を満たしながら、セキュリティ分析にデータを活用することができます。

5. ルーティングと多重化

ルーティングプロファイルを使用すると、強化されたイベントを複数の宛先に同時に送信できます(SIEM(S3 互換のデータレイクや Snowflake、チケットシステム、分析クラスターなど)これにより、チームは次のことが可能になります。
  • ベンダーロックインを回避します。
  • 多様なストレージ、コンプライアンス、分析のニーズを満たします。
  • 取り込み作業を重複させることなく、別々のチームまたはツールにデータをフィードします。

6. リアルタイム異常検出と重複排除

インライン異常検出と取り込み後のMLモジュールは、データ到着時に外れ値を特定します。重複排除と集約により、忠実度を犠牲にすることなくデータ量をさらに削減できるため、高EPS、1日あたり数テラバイトの環境に最適です。

7. マルチテナントMSSPアーキテクチャ

Stellar Cyber​​は創業当初から、プラットフォームにマルチテナント機能を組み込んでいます。MSSPは、データの完全な分離、異なるストレージオプション、異なる保存期間、ポリシー、レポート機能などを活用して、複数の顧客を安全に管理できます。これにより、MSSPは顧客のニーズに合わせて多様なオプションを提供できるようになります。

8. ネイティブプラットフォーム統合

このパイプラインはStellar Cyber​​のネイティブアーキテクチャの一部であり、追加機能やサードパーティへの依存は一切ありません。これにより、以下のことが保証されます。
  • 待ち時間が短くなります。
  • より高速な更新とスケーラビリティ。
  • 一貫したセキュリティとコンプライアンスの姿勢
  • 後処理とデータ エンジン間の即時フィードバック ループ。

9. データ移行の柔軟性

Stellar Cyber​​はレガシーシステムからの移行をサポート SIEMコネクタとルーティング プロファイルを使用して新しいデータ レイクまたは分析プラットフォームに移行し、継続性を維持し、高価な総入れ替えプロジェクトを回避します。

スケーラビリティと成熟度

Stellar Cyber​​のパイプラインアーキテクチャは、グローバル規模で1日あたり数テラバイト規模の導入実績があり、その性能は実証済みです。お客様は、ボトルネックを生じることなく、数万のエンドポイントと数十のデータソースに日常的に拡張しています。このプラットフォームの成熟度により、セキュリティチームは迅速に導入し、広範囲に統合し、本番環境でパイプラインを信頼して運用できます。

Stellar Cyber​​のデータパイプラインが重要な理由

パイプラインはAIドリブンSecOpsプラットフォームに組み込まれているため、アナリストはクリーンなデータだけでなく、自動化された検知、調査、対応をすべて単一の統合環境から得ることができます。これは次のことを意味します。
  • より速い MTTR。
  • アナリストの効率性の向上。
  • インフラコストの削減。
  • 取り込みから修復まで完全な可視性。

結論

Stellar Cyber​​のデータパイプラインは、単なる転送メカニズムにとどまりません。統合されたAI搭載セキュリティ運用プラットフォームのバックボーンです。ソースでのフィルタリング、多様なフィードの正規化、コンテキストによるエンリッチメント、そして柔軟なデータルーティングにより、Stellar Cyber​​は、 SOC チームが大規模に活動し、ノイズを排除し、脅威に迅速に対応できるようになります。

関連記事

上へスクロール
ニュースレターにサインアップする