보안 공급업체 및 특히 XDR 시장, 빌드 대 통합의 아키텍처 축이 있습니다. 한쪽 끝에는 "모든 것을 구축/획득" – 수직적으로 통합되고 기업의 전체 보안 스택이 되기를 원하는 공급업체. 다른 쪽 끝에서 당신은 “모든 것과 통합” – 단일 구성 요소 또는 API를 더 큰 아키텍처로 통합하는 공급업체. 두 접근 방식 모두 장단점이 있습니다. "모든 것을 구축/획득" 캠프는 모든 구성 요소를 긴밀하게 연결하여 응집력 있는 보안 경험을 생성할 수 있지만 집중을 희생해야 하며 동급 최강의 제품이 아닐 가능성이 큽니다. "모든 것과 통합" 캠프는 주어진 초점을 즐기며 최소한의 범위로 환상적인 제품을 구축할 수 있지만 특정 구매자는 더 넓은 보안 포트폴리오에 이를 계층화해야 합니다.
Stellar Cyber에서 우리는 이 아키텍처 축의 중간 어딘가에 있는 접근 방식을 취합니다. NDR, SIEM, TIP및 XDR AI 엔진) 및 우리가 통합하는 기능. 우리가 통합하는 가장 중요한 제품 클래스 중 하나는 EDR입니다. 우리는 최근에 발표했습니다 업계 최초의 범용 EDR, 이는 EDR 또는 EDR을 당사 플랫폼으로 가져올 수 있는 기능이며 당사는 이를 지원할 뿐만 아니라 EDR 선택에 관계없이 충실도 수준을 보장하면서 개선합니다. 즉, 사용자가 기본 제공 및 통합 접근 방식을 최대한 활용할 수 있습니다. 범용 EDR 통합 통합되는 제품이 매우 긴밀하게 통합되어 마치 플랫폼의 기본 부분인 것처럼 작동하지만 플랫폼은 여전히 열려 있습니다.
이 기능을 개발할 때 직면한 가장 큰 기술적 과제 중 하나는 EDR 공급업체에 관계없이 충실도 높은 경고를 일관되게 생성하는 방법이었습니다. 우리는 기술적인 접근 방식을 다음과 같이 설명합니다. "경고 경로" 또는 소스 EDR 데이터에서 Stellar Cyber의 충실도 경고로 이동하는 데 필요한 처리 기술. 모든 EDR 각각의 EDR을 효과적으로 처리할 수 있는 프레임워크를 개발해야 하는 기반이 되었습니다.
아래에 설명된 프레임워크 및 경고 경로는 다음에서 쉽게 사용할 수 있는 백엔드 기능입니다. 스텔라 사이버 오픈 XDR 플랫폼.
경고 경로 1 – "통과 강화"
"패스스루 엔리치먼트" 기술은 알림 출처에서 EDR 시스템, 그런 다음 추가 위협 인텔리전스를 통해 해당 경고를 강화하고 MITER ATT & CK. 어떤 의미에서 이것은 뉴스를 다시 보고한 후 추가 컨텍스트를 추가하는 것과 같지만 소스의 일부 특정 경고가 있는 경우 매우 효과적일 수 있습니다. EDR 충실도가 가장 높습니다. 그러나 우리 연구에서 이 접근 방식은 주어진 모든 항목에 부분적으로만 적용할 수 있습니다. EDR.
경고 경로 2 – "중복 제거"
"중복 제거" 기술은 머신 러닝을 적용하여 소스 EDR을 식별합니다. 알림 중복되고 동일한 활동의 일부일 가능성이 있으며 Stellar Cyber 내에서 단일 경고를 생성하여 자동화 및 분석가 성능을 개선합니다.
경고 경로 3 – "기계 학습 이벤트 기반"
"Machine Learning Event-Based" 기법은 모든 소스 EDR이 이벤트 및 알림 Stellar Cyber 내에서 새로운 새로운 경고를 생성하는 다양한 ML 경고 모델을 통해 처리됩니다. 이를 위해서는 상당한 데이터 연구와 EDR 공급업체 전반에 걸친 강력한 정규화 프로세스가 필요합니다.
Universal EDR에 대한 우리의 접근 방식
이 프레임워크를 설계하기 위한 기본 원칙은 최종 사용자를 위한 보안 결과입니다. 동일한 EDR이 없기 때문에 서로 다른 EDR 제품에서 서로 다른 경보 및 이벤트 하위 집합에 서로 다른 경보 경로를 적용합니다. 예를 들어 EDR 1의 경우 통과 10%, 중복 제거 50%, 기계 학습 이벤트 기반 40%인 반면 EDR 2의 경우 이러한 비율은 각각 0%, 80%, 20%일 수 있습니다.
사내 EDR을 구축하지 않는 회사의 경우 엔드포인트 기반 보안 연구의 최첨단에 서 있습니다. 이것은 개척자 자체에 내부적으로 흥미진진하지만 가장 중요한 것은 이것이 고객에게 의미하는 바 때문입니다. 해야 할 일이 훨씬 더 많습니다. 재능 있는 보안 또는 엔지니어링 팀에 합류하는 데 관심이 있으시면 다음을 확인하십시오. 채용.
