もともと投稿された
メールゲートウェイ企業から脅威インテリジェンスプラットフォームの開発者まで、ほぼすべてのベンダーが自らを XDR プレーヤーです。しかし残念なことに、周囲の騒音が XDR 購入者が自分に適したソリューションを見つけることが難しくなり、さらに重要なことに、自分のニーズを満たさないソリューションを回避することが難しくなります。
ステラサイバーは Open XDR Stellar Cyberは、組織がセキュリティスタック内で必要なセキュリティツールを自由に利用し、アラートやログをStellar Cyberに入力できるソリューションです。Stellar Cyberの「オープン」なアプローチは、あらゆる製品と連携できることを意味します。そのため、セキュリティチームはStellar Cyberのセキュリティが適切かどうか心配することなく、変更を加えることができます。 Open XDR プラットフォームは引き続き機能します。
Stellar Cyberは、NGに典型的に見られる機能を提供することで、無駄のないエンタープライズセキュリティチームのニーズに対応します。SIEM、NDR、SOAR製品 Open XDR プラットフォームは単一ライセンスで管理されます。この統合により、お客様はセキュリティスタックの複雑さを解消できます。
Stellar Cyber は、ヨーロッパ、アジア、オーストラリア、日本、韓国、アフリカのあらゆる主要産業の顧客にサービスを提供しており、3 万以上の資産のセキュリティを提供しています。さらに Stellar Cyber は、導入後、ユーザーは平均応答時間 (MTTR) が最大 20 倍速くなると主張しています。これは大胆な主張です。
ホームページからインシデントに対応する
Stellar Cyberにログインすると、最初の画面はアナリストのホーム画面で、主要なインシデントや最もリスクの高い資産などの統計情報が表示されます。この画面で興味深いのは、Stellar Cyberが「 Open XDR キルチェーン。「最初の試行」など、キルチェーンの任意のセグメントをクリックすると、攻撃チェーンのその部分に関連する脅威が表示されます。
たとえば、ユーザーは Stellar Cyber によって自動的に設定されたステージ「初期試行」でこれらのアラートを表示できます。ユーザーは、いずれかのアラートの「表示」をクリックすると、アラートの詳細情報を表示できます。次に、画面を下にスクロールして、「詳細情報」ハイパーリンクをクリックすると、選択したアラートの詳細情報を表示できます。
ここで、ユーザーはインシデントについて読み、詳細を確認し、このインシデントの背後にある生データと JSON を確認できます。JSON は必要に応じてクリップボードにコピーできます。さらに、「アクション」ボタンをクリックすると、ユーザーは他の強力なプラットフォーム機能を確認できます。
ユーザーは、この画面から「フィルターの追加」、「電子メールのトリガー」、「外部アクションの実行」などの応答アクションを実行できます。外部アクションをクリックすると、追加の選択リストが表示されます。ユーザーはエンドポイントをクリックして、ホストの封じ込めからホストのシャットダウンまでのアクション オプションを表示できます。
アクション (ホストの包含など) をクリックすると、構成ダイアログが表示され、ユーザーは使用するコネクタ、アクションのターゲット、および選択したアクションを開始するために必要なその他のオプションを選択できます。要約すると、セキュリティ アナリスト (特に初心者) にとって、このワークフローは非常に便利です。a) ホーム画面からインシデントの詳細をすばやく確認し、b) データをさらに詳しく調べて詳細を確認し、c) スクリプトやコードを記述せずにこの画面から修復アクションを実行できます。
企業は、新しいアナリストにこのビューで作業させてプラットフォームに慣れさせ、優先度の低いインシデントを処理して他のアナリストがより重要なインシデントに取り組めるようにすることで、新しいアナリストのオンボーディングを支援できます。
事件の調査
をクリックする代わりに Open XDR キルチェーンでは、ユーザーが「インシデント」をクリックすると、以下の画面が表示されます。
ユーザーが青い円の中のニンジンをクリックすると、フィルタリング リストが表示され、特定の種類のインシデントに焦点を絞ることができます。ユーザーは詳細ボタンに直接移動して、この詳細ビューの内容を確認できます。
ユーザーは、このインシデントがどのように発生し、複数の資産に伝播したかを確認できます。さらに、ユーザーは、インシデントに関連付けられているファイル、プロセス、ユーザー、およびサービスを自動的に確認できます。たとえば、ユーザーはタイムライン ビューに切り替えて、このインシデントの読み取り可能な履歴を取得できます。
小さな「i」をクリックすると、前に示した詳細画面が表示されます。
要約すると、アラートのリストから作業することに慣れているアナリストは、インシデント ページから調査を開始するとよいでしょう。このビューは、このインシデントに関連するすべてのアラートを 1 つのビューに自動的に表示するという利点もあります。
Stellar Cyber における脅威ハンティング
ユーザーは、上の画面から脅威ハンティングを開始できます。検索ダイアログに「ログイン」などの語句を入力すると、画面上の統計情報が動的に変化します。その後、画面を下にスクロールすると、検索語句に基づいてフィルタリングされたアラートのリストが表示されます。
ユーザーは検索ダイアログボックスで「相関検索」を作成できます。
ユーザーは保存したクエリを読み込むか、新しいクエリを追加できます。クエリの追加をクリックすると、このクエリ ビルダーが表示されます。このビルダーを使用すると、Stellar Cyber データストア全体で、気付かなかった脅威を検索できます。ここで、ユーザーは脅威ハンティング ライブラリにアクセスすることもできます。
最後に、ユーザーは、クエリが一致を返した場合に自動的に実行される応答アクションを作成できます。
要約すると、Stellar Cyber は、ユーザーが独自の ELK スタックを構築したり、パワー スクリプターになる必要のない、シンプルな脅威ハンティング プラットフォームを提供します。この機能は、上級の脅威ハンターを雇用することなく、セキュリティ チームに脅威ハンティング要素を追加する簡単な方法です。
結論
Stellar Cyberは、セキュリティチームの生産性向上に役立つ多くの機能を備えた堅牢なセキュリティ運用プラットフォームです。新しいものをお探しの場合は、 SecOpsプラットフォーム セキュリティに対する新しいアプローチを(全体的または部分的に)採用することに前向きであれば、Stellar Cyberが提供するものを検討する価値があります。Stellar Cyberの詳細については、 5分間の製品ツアー.
