Een kijkje in de datapijplijn van Stellar Cyber: de verborgen motor achter slimmere beveiliging

By /

AI-gestuurde beveiliging, Cybersecurity, IT-technologie, MSSP's, Netwerk veiligheid, Open XDR, Open XDR Platform

Samenvatting

een modern SOCBeveiligingssystemen worden overweldigd door de hoeveelheid en complexiteit van data. De mogelijkheid om beveiligingsdata op grote schaal te filteren, normaliseren, verrijken en routeren zonder verlies van nauwkeurigheid heeft een directe impact op de detectienauwkeurigheid, de efficiëntie van analisten en de naleving van regelgeving. Met een volledig begrip van het belang van de data-uitdagingen en -behoeften die een dergelijke mogelijkheid met zich meebrengt, is de datapipeline van Stellar Cyber ​​geen extraatje, maar een kernfunctionaliteit van onze dienstverlening. AI-gestuurd SecOps-platform Vanaf het begin. Deze whitepaper beschrijft de technische basis van de pijplijn van Stellar Cyber ​​en hoe de unieke architectuur beveiligingsteams helpt hun gegevensbronnen te verenigen, ruis te verminderen en de respons op incidenten te versnellen.

Inleiding: verder dan datapijplijnen

Terwijl sommige producten zich alleen richten op het verzamelen en verplaatsen van data, integreert Stellar Cyber ​​een volledig platform voor beveiligingsoperaties met een diepgewortelde datapijplijn. Deze pijplijn verwerkt en transporteert niet alleen data, maar transformeert de data ook via een meerstappenproces. filtert, normaliseert, verrijkt, correleert en routeert het naar de juiste opslag voor detectie- en responsworkflows en naar back-upopslag zoals S3Dit maakt echt end-to-end inzicht, detectie en actie mogelijk.

Kernprincipes van de Stellar Cyber ​​Data Pipeline

Om alomvattend inzicht te bieden in het volledige aanvalsoppervlak van een organisatie, biedt de oplossing van Stellar Cyber ​​meerdere methoden voor gegevensverzameling. Het kan logs en netwerktelemetrie verzamelen via gedistribueerde modulaire sensoren, integreren met talloze applicaties via hun native API's en server-implementatie. sensor om gegevens van zowel Linux- als Windows-servers te verzamelen.

1. Verkeersfiltering aan de rand

In tegenstelling tot tools die alleen filteren op het invoerpunt op een centrale locatie, passen de sensoren van Stellar Cyber ​​verkeers- en applicatiefilters toe voordat de data de bron verlaat. Gebeurtenissen die de pijplijn bereiken, worden direct verwerkt door geavanceerde forwarders. Ze passen gedetailleerde filterregels op schaal toe, zodat alleen de data die nodig is voor compliance, detectie of analyse behouden blijft. Deze filtering vóór de invoer:
  • Verwijdert irrelevante gebeurtenissen vroegtijdig (ruisonderdrukking aan de rand).
  • Verlaagt de bandbreedte- en opslagvereisten door niet-kritieke logs meteen te verwijderen.
  • Biedt flexibiliteit door ondersteuning van beleidsgestuurde filtering op basis van applicatietype, poort, protocol of aangepaste regels.

2. Normalisatie over diverse bronnen

De Interflow-normalisatie-engine standaardiseert logformaten en schema's uit talloze verschillende bronnen. Dit maakt het volgende mogelijk:

  • Geautomatiseerde detectie via Machine Learning of regels
  • Geautomatiseerde correlatie van individuele waarschuwingen met gevallen via genormaliseerde artefacten.
  • Consistente verrijking voor contextualisatie
  • Snelle downstream-analyses zonder herhaaldelijk parsen.
  • Nauwkeurige, gemakkelijk te begrijpen dashboards, rapporten en onderzoeken.

3. Realtime contextuele verrijking bij opname

Terwijl de gegevens naar de Stellar Cyber ​​stromen Open XDR platform wordt het inline en in realtime verrijkt – niet na opname – en levert het telemetrie met een hoge context voor snelle, nauwkeurige detectie en reactie.

Belangrijke verrijkingsdimensies zijn onder meer:
  • GeoIP- en ASN-opzoeken: Voegt direct land-, stads- en autonome systeemgegevens toe aan elke gebeurtenis met IP's.
  • Realtime bedreigingsinformatie: Correspondeert met meerdere feeds met informatie over bedreigingen (commercieel, open source en door de klant gedefinieerd) en past realtime risicoscores toe.
  • Resolutie voor gebruikers en entiteiten: Koppelt logs en verkeer aan menselijke en machine-identiteiten via Active Directory, Okta, IAM-systemen en inventarissen van activa.
  • Toepassingsidentificatie: De Deep Packet Inspection (DPI)-engine en applicatievingerafdruk verbeteren de helderheid van gebeurtenissen, die verder gaat dan op poorten gebaseerde heuristiek.
  • Aangepaste tagging en contextinjectie: Beheerders kunnen bedrijfsspecifieke context (bijvoorbeeld criticaliteit van activa, functie, nalevingszones) in de gegevensstroom injecteren.
Deze diepgaande, inline verrijking zorgt ervoor dat elke waarschuwing en elk onderzoek begint met een rijke, bruikbare context, zoals waar, wanneer, wie, wat. Hierdoor wordt de triagetijd geminimaliseerd, de detectienauwkeurigheid verhoogd en kan de analyse van de grondoorzaak sneller worden uitgevoerd.

4. Maskering en PII/PHI-redactie

De pijplijn bevat op regex gebaseerde filters en maskeringsfuncties om automatisch gevoelige velden, zoals persoonlijk identificeerbare of beschermde gezondheidsinformatie, te verbergen. Dit helpt organisaties om te voldoen aan wettelijke vereisten en tegelijkertijd gegevens te gebruiken voor beveiligingsanalyses.

5. Routing en multiplexing

Met routeringsprofielen kunnen verrijkte gebeurtenissen gelijktijdig naar meerdere bestemmingen worden verzonden (SIEM(bijvoorbeeld S3-compatibele data lakes of Snowflake, ticketsystemen of analyseclusters). Dit stelt teams in staat om:
  • Voorkom leveranciersbinding.
  • Voldoe aan uiteenlopende opslag-, nalevings- en analysebehoeften.
  • Voer afzonderlijke teams of tools in zonder dubbele invoerwerkzaamheden.

6. Realtime anomaliedetectie en deduplicatie

Inline anomaliedetectie en post-ingestion ML-modules identificeren outliers zodra de data binnenkomt. Deduplicatie en aggregatie verminderen het datavolume verder zonder in te leveren op betrouwbaarheid, ideaal voor omgevingen met hoge EPS en meerdere terabytes per dag.

7. Multi-Tenant MSSP-architectuur

Vanaf het begin heeft Stellar Cyber ​​multi-tenant functionaliteit ingebouwd in zijn platform. MSSP's kunnen meerdere klanten veilig beheren met volledige data-isolatie, verschillende opslagopties, verschillende bewaartermijnen, beleid en rapportage, enzovoort. Dit geeft MSSP's de controle om verschillende opties aan te bieden die voldoen aan de behoeften van hun klanten.

8. Integratie met native platforms

De pijplijn maakt deel uit van de native architectuur van Stellar Cyber, zonder extra modules of afhankelijkheden van derden. Dit garandeert:
  • Lagere latentie.
  • Snellere updates en schaalbaarheid.
  • Consistente beveiligings- en nalevingshouding
  • Onmiddellijke feedbacklus tussen nabewerking en de data-engine.

9. Flexibiliteit bij gegevensmigratie

Stellar Cyber ​​ondersteunt migratie van legacy-systemen. SIEMnaar nieuwe data lakes of analyseplatformen met behulp van connectoren en routeringsprofielen, waardoor de continuïteit behouden blijft en kostbare vervangingsprojecten worden vermeden.

Schaalbaarheid en volwassenheid

De pijplijnarchitectuur van Stellar Cyber ​​heeft zich bewezen in wereldwijde implementaties van meerdere terabytes per dag. Klanten schalen routinematig op naar tienduizenden eindpunten en tientallen gegevensbronnen zonder knelpunten. De volwassenheid van het platform stelt beveiligingsteams in staat om snel te implementeren, breed te integreren en de pijplijn in productie te vertrouwen.

Waarom de datapijplijn van Stellar Cyber ​​belangrijk is

Omdat de pijplijn is ingebed in een AI-gestuurd SecOps-platform, krijgen analisten niet alleen schone data, maar ook geautomatiseerde detectie, onderzoek en respons, allemaal aangestuurd vanuit één uniforme omgeving. Dit betekent:
  • Snellere MTTR.
  • Hogere efficiëntie van analisten.
  • Lagere infrastructuurkosten.
  • Volledig inzicht van inname tot sanering.

Conclusie

De datapipeline van Stellar Cyber ​​is meer dan alleen een transportmechanisme; het vormt de ruggengraat van een uniform, door AI aangedreven platform voor beveiligingsoperaties. Door te filteren aan de bron, te normaliseren over diverse feeds, te verrijken met context en data flexibel te routeren, stelt Stellar Cyber ​​bedrijven in staat om effectief te opereren. SOC teams in staat stellen om op grote schaal te opereren, ruis te filteren en sneller op bedreigingen te reageren.

gerelateerde berichten

Scroll naar boven
Meld u aan voor nieuwsbrieven