In de afgelopen maanden hebben de XDR acroniem wordt gebruikt door bijna elke fabrikant van beveiligingsproducten. Het is één ding om te zeggen dat je het hebt, maar het harde werk dat nodig is om de detecties op te bouwen, kost jaar. Het is niet genoeg om te zeggen dat je een big data-platform hebt waar je dingen in kunt dumpen en zoeken; u hebt bruikbare detecties nodig die tot zinvolle correlaties leiden. Hier zijn twee belangrijke dingen om te overwegen als je kijkt naar: XDR.
Gegevens normalisatie – Om volledige zichtbaarheid te krijgen, is het eerste waar u rekening mee moet houden de gegevens zelf. Elk beveiligingsproduct heeft een andere manier om zijn logboeken en waarschuwingen te presenteren. Netwerkoplossingen, eindpuntbeveiligingstools, firewalls, identiteitstools, cloudbeveiligingstools en vele andere hebben allemaal hun eigen waarschuwingsformaten en frequentie. Elk SIEM tools kan logs van deze apparaten opslaan - dat is het makkelijke gedeelte.
Het probleem is dat het bijna onmogelijk is om complexe, multidimensionale regels te maken om het huidige tempo van aanvallen bij te houden. Op een IDS kunt u bijvoorbeeld meer dan een miljoen waarschuwingen per dag zien. Suricata-regels kunnen mogelijk de bekende kwetsbaarheden uitfilteren tot 200,000, maar van daaruit zou u normaal gesproken een reeks regels moeten maken op basis van uw kennis van de omgeving van de klant.
Dit is een gebied waar het inzetten van machine learning (ML) op de IDS-gegevens het aantal waarschuwingen aanzienlijk kan terugbrengen tot een beheersbaar aantal. In plaats van regels te schrijven om dingen te detecteren, kunt u ML gebruiken om een basislijn vast te stellen voor normaal gedrag op dat netwerk. Wanneer logt de klant normaal gesproken in? Waarvandaan loggen ze in? Hoe lang blijven ze normaal gesproken ingelogd? In plaats van 200,000 waarschuwingen kunnen ML-detecties dat aantal terugbrengen tot een handvol. Het is aanzienlijk sneller en gemakkelijker voor uw beveiligingssystemen om deze informatie te correleren over al uw beveiligingstools. SOC Analist om te beheren.
Integraties openen – Zorg er bovendien voor dat de XDR platform je overweegt is open. Aangezien beveiligingstechnologieën de komende jaren snel veranderen, zullen deze platforms u helpen vendor lock-in te voorkomen. Dit zal u helpen uw vermogen te behouden om u aan te passen aan het veranderende cyberbeveiligingslandschap en de behoeften van uw klanten.
Bij Stellar Cyber – denken we een API-gestuurde of Open XDR is de beste weg vooruit – ongeacht waar u vandaan komt en welke bestaande tools u gebruikt, en ongeacht waar u naar toe wilt op het gebied van beveiligingsvolwassenheid. Voor ons betekent dit dat we helpen bij het opstellen van een strategie die voor u als onderneming of voor uw klanten als MSSP werkt, waarbij we profiteren van de investeringen die u beiden heeft gedaan. Neem contact met mij op voor een levendig gesprek: ssalinas@stellarcyber.ai
