Technische benadering van universele EDR

Voor beveiligingsleveranciers en degenen in de XDR-markt specifiek, is er een architecturale as van bouwen versus integreren. Aan de ene kant heb je “Bouw / koop alles” – leveranciers die verticaal geïntegreerd zijn en de volledige beveiligingsstack van een onderneming willen zijn. Aan de andere kant heb je “Integreren met alles” – leveranciers die een enkele component of API bouwen die bedoeld is om in een grotere architectuur te worden samengevoegd. Er zijn voor- en nadelen voor beide benaderingen. Het "Build / Acquire Everything"-kamp kan alle componenten stevig met elkaar verbinden om een ​​samenhangende beveiligingservaring te creëren, maar ze doen dit ten koste van gefocust te zijn en zullen waarschijnlijk niet de beste zijn. Het "Integreren met alles"-kamp geniet van hun geboden focus en kan een fantastisch product bouwen met minimale reikwijdte, maar vereist een bepaalde koper om ze in hun bredere beveiligingsportfolio te plaatsen.

Bij Stellar Cyber ​​nemen we de benadering om ergens in het midden van deze architecturale as te zijn - een balans tussen ingebouwde mogelijkheden (met name NDR, SIEM, TIPEn XDR AI-engine) en mogelijkheden waarmee we integreren. Een van de belangrijkste productklassen waarmee we integreren is EDR. We hebben onlangs aangekondigd dat de De eerste universele EDR in de branche, wat de mogelijkheid is om EDR's of EDR's naar ons platform te brengen, en we ondersteunen ze niet alleen, maar we maken ze ook beter terwijl we een niveau van betrouwbaarheid garanderen, ongeacht de EDR-keuze. Met andere woorden, het stelt gebruikers in staat om het beste te halen uit de ingebouwde en geïntegreerde benaderingen – het biedt een Universele EDR-integratie waarbij het product dat wordt geïntegreerd zo nauw is geïntegreerd dat het zich gedraagt ​​alsof het een native onderdeel van het platform is, maar het platform blijft open.

Een van de grootste technische uitdagingen die we tegenkwamen bij het ontwikkelen van deze mogelijkheid, was het consistent genereren van high-fidelity-waarschuwingen, ongeacht de EDR-leverancier. We omschrijven onze technische aanpak als: "Waarschuwingsroutes" of de verwerkingstechnieken die nodig zijn om van bron-EDR-gegevens naar een high-fidelity-waarschuwing in Stellar Cyber ​​te gaan. Elk EDR is anders, wat de basis was voor het ontwikkelen van een raamwerk om elke EDR effectief af te handelen.

Het framework en de Alert Pathways die hieronder worden beschreven, zijn direct beschikbare backend-functies in de Stellar Cyber ​​Open XDR-platform.

 

Waarschuwingsroute 1 - "Passthrough-verrijking"

De techniek "Passthrough Enrichment" neemt waarschuwingen van bron-EDR-systemen, verrijkt die waarschuwingen vervolgens met aanvullende informatie over bedreigingen en stemt ze af op MITRE ATT&CK. In zekere zin is dit alsof je wat extra context toevoegt na het opnieuw rapporteren van het nieuws, maar het kan zeer effectief zijn als bepaalde specifieke waarschuwingen in de bron-EDR van de hoogste getrouwheid zijn. In ons onderzoek is deze benadering echter op zijn best slechts gedeeltelijk toepasbaar voor een bepaalde EDR.

De techniek "Passthrough Enrichment" duurt waarschuwingen van de bron EDR-systemen, verrijkt die waarschuwingen vervolgens met aanvullende informatie over bedreigingen en stemt ze af op MITRE ATT & CK. In zekere zin is dit hetzelfde als het toevoegen van wat extra context na het opnieuw rapporteren van het nieuws, maar het kan zeer effectief zijn als bepaalde waarschuwingen in de bron EDR zijn van de hoogste getrouwheid. In ons onderzoek is deze benadering echter op zijn best slechts gedeeltelijk toepasbaar voor een gegeven EDR.

 

Waarschuwingsroute 2 - "Deduplicatie"

De techniek "Deduplicatie" past Machine Learning toe om bron-EDR te identificeren waarschuwingen die dubbel zijn en waarschijnlijk deel uitmaken van dezelfde activiteit, en genereert een enkele waarschuwing binnen Stellar Cyber ​​om de automatisering en de prestaties van analisten te verbeteren.

 

Alert Pathway 3 – “Machine Learning Event-Based”

De techniek "Machine Learning Event-Based" is technisch het meest uitdagend omdat alle bron-EDR gebeurtenissen en waarschuwingen worden verwerkt via verschillende ML-waarschuwingsmodellen die nieuwe nieuwe waarschuwingen genereren binnen Stellar Cyber. Dit vereist een aanzienlijke gegevensstudie en een robuust normalisatieproces om bij EDR-leveranciers van de grond te komen.

 

Onze benadering van universele EDR

Ons leidende principe voor het ontwerpen van dit raamwerk is het beveiligingsresultaat voor de eindgebruiker. Aangezien geen enkele EDR hetzelfde is, betekent dit dat we verschillende waarschuwingstrajecten toepassen op verschillende subsets van waarschuwingen en gebeurtenissen in verschillende EDR-producten. EDR 1 kan bijvoorbeeld 10% Passthrough, 50% Deduplicatie en 40% Machine Learning Event-Based hebben, terwijl die verhoudingen voor EDR 2 respectievelijk 0%, 80% en 20% kunnen zijn.

Voor een bedrijf dat geen interne EDR bouwt, bevinden we ons aan het begin van endpoint-gebaseerd beveiligingsonderzoek. Dit is intern spannend voor de frontier zelf, maar vooral vanwege wat het betekent voor onze klanten. Er is nog zoveel werk aan de winkel, en als je geïnteresseerd bent om deel uit te maken van ons getalenteerde beveiligings- of engineeringteam, bekijk dan onze vacatures.