Oorspronkelijk gepost in
Vrijwel elke leverancier, van bedrijven die e-mailgateways aanbieden tot ontwikkelaars van platforms voor dreigingsinformatie, positioneert zich als een XDR speler. Maar helaas, het lawaai eromheen. XDR Dit maakt het voor kopers lastiger om oplossingen te vinden die bij hen passen, of, nog belangrijker, om oplossingen te vermijden die niet aan hun behoeften voldoen.
Stellar Cyber levert een Open XDR Een oplossing waarmee organisaties alle gewenste beveiligingstools in hun beveiligingsstack kunnen gebruiken en waarschuwingen en logboeken naar Stellar Cyber kunnen sturen. De "open" aanpak van Stellar Cyber betekent dat hun platform met elk product kan samenwerken. Hierdoor kan een beveiligingsteam wijzigingen doorvoeren zonder zich af te vragen of Stellar Cyber compatibel is. Open XDR Het platform zal nog steeds werken.
Stellar Cyber speelt in op de behoeften van kleine beveiligingsteams binnen bedrijven door functionaliteiten te bieden die doorgaans alleen in NG-systemen te vinden zijn.SIEM, NDR- en SOAR-producten in hun Open XDR platform, beheerd door één enkele licentie. Deze consolidatie stelt klanten in staat de complexiteit van hun beveiligingsstack te verminderen.
Stellar Cyber bedient klanten in alle belangrijke sectoren, met klanten in Europa, Azië, Australië, Japan, Zuid-Korea en Afrika, en biedt beveiliging voor meer dan 3 miljoen activa. Bovendien, stelt Stellar Cyber na implementatie, zien gebruikers tot 20x snellere gemiddelde tijd om te reageren (MTTR), een gewaagde claim.
Reageren op een incident vanaf de startpagina
Bij het inloggen op Stellar Cyber verschijnt het startscherm voor analisten, met statistieken zoals de belangrijkste incidenten en de meest risicovolle activa. Een interessant onderdeel van dit scherm is wat Stellar Cyber de "analistenpagina" noemt. Open XDR Kill Chain. Door op een segment van de kill chain te klikken, zoals 'Initiële pogingen', worden de bedreigingen weergegeven die aan dat deel van de aanvalsketen zijn gekoppeld.
De gebruiker kan deze waarschuwingen bijvoorbeeld zien met de fase "Initial Pogingen" die automatisch door Stellar Cyber is ingesteld. De gebruiker kan meer informatie over de waarschuwing zien door op een van de waarschuwingen op "Bekijken" te klikken. Vervolgens kan de gebruiker, door naar beneden te scrollen, op de hyperlink "meer info" klikken om meer informatie over de geselecteerde waarschuwing te zien.
Hier kan een gebruiker over het incident lezen, de details bekijken en de onbewerkte gegevens achter dit incident en de JSON bekijken, die indien nodig naar een klembord kan worden gekopieerd. Door op de knop "Acties" te klikken, kan de gebruiker bovendien andere krachtige platformfuncties zien.
De gebruiker kan vanuit dit scherm responsacties uitvoeren, zoals 'een filter toevoegen, een e-mail activeren of externe actie ondernemen. Als u op externe actie klikt, wordt een extra keuzelijst weergegeven. De gebruiker kan op Endpoint klikken om de actie-opties te zien van host host tot shutdown host.
Wanneer u op een actie klikt, zoals host bevatten, wordt een configuratiedialoogvenster weergegeven waarin de gebruiker de connector kan selecteren die moet worden gebruikt, het doel van de actie en eventuele andere opties die nodig zijn om de gekozen actie te starten. Samenvattend zullen beveiligingsanalisten, vooral junioren, deze workflow erg handig vinden omdat ze a) snel details van een incident kunnen bekijken vanaf het startscherm, b) nog meer details kunnen zien door verder in de gegevens te gaan, en c) een herstelactie vanaf dit scherm zonder scripts of code te schrijven.
De onderneming kan nieuwe analisten aan boord helpen door ze aan deze weergave te laten werken om ze vertrouwd te maken met het platform en incidenten met een lage prioriteit af te handelen, zodat andere analisten aan de meer kritieke incidenten kunnen werken.
Incidenten onderzoeken
In plaats van te klikken op de Open XDR Kill Chain, als de gebruiker op 'Incidenten' klikt, wordt onderstaand scherm weergegeven.
Wanneer de gebruiker op de wortel in de blauwe cirkel klikt, stelt een filterlijst een gebruiker in staat om een specifiek type incident aan te scherpen. De gebruiker kan direct naar de detailknop gaan om te zien wat er in deze detailweergave staat.
De gebruiker kan zien hoe dit incident heeft plaatsgevonden en zich heeft verspreid over meerdere activa. Verder kan de gebruiker automatisch de bestanden, processen, gebruikers en services zien die bij het incident horen. Zo kan de gebruiker bijvoorbeeld overschakelen naar de tijdlijnweergave om een leesbare geschiedenis van dit incident te krijgen.
En klik op de kleine "i" om naar het eerder getoonde detailscherm te gaan.
Samenvattend kunnen analisten die gewend zijn om vanuit een lijst met waarschuwingen te werken, hun onderzoek starten vanaf de incidentenpagina. Deze weergave is ook nuttig omdat alle waarschuwingen die aan dit incident zijn gekoppeld, automatisch in één weergave worden weergegeven.
Dreiging op jacht in Stellar Cyber
Gebruikers kunnen een jacht op bedreigingen starten vanaf het bovenstaande scherm. De statistieken op het scherm veranderen dynamisch door een term in te typen, zoals 'inloggen' in het zoekvenster. Vervolgens kunnen gebruikers, door naar beneden te scrollen, een lijst met waarschuwingen zien die zijn gefilterd op basis van de zoekterm.
Gebruikers kunnen een "correlatiezoekopdracht" maken in het zoekdialoogvenster.
Gebruikers kunnen een opgeslagen zoekopdracht laden of een nieuwe zoekopdracht toevoegen. Door op de query toevoegen te klikken, kan de gebruiker deze querybuilder zien. Deze builder maakt het mogelijk om in de Stellar Cyber-datastores te zoeken naar onopgemerkte bedreigingen. Hier heeft de gebruiker ook toegang tot de bibliotheek voor het opsporen van bedreigingen.
Ten slotte kan de gebruiker responsacties maken die automatisch worden uitgevoerd als de query overeenkomsten oplevert.
Samenvattend biedt Stellar Cyber een eenvoudig platform voor het opsporen van bedreigingen waarvoor gebruikers niet hun eigen ELK-stack hoeven te bouwen of een powerscripter hoeven te zijn. Deze functie is een gemakkelijke manier om een bedreigingsjager-element toe te voegen aan een beveiligingsteam zonder een senior bedreigingsjager in te huren.
Conclusie
Stellar Cyber is een solide platform voor beveiligingsoperaties met veel functies die een beveiligingsteam kunnen helpen de productiviteit te verbeteren. Als in de markt voor een nieuwe SecOps-platform en openstaan voor (geheel of gedeeltelijk) een nieuwe benadering van beveiliging, is het de moeite waard om te kijken naar wat Stellar Cyber biedt. Voor meer informatie over Stellar Cyber, probeer de Productrondleiding van 5 minuten.
