W ciągu ostatnich kilku miesięcy XDR akronim jest używany przez prawie każdego producenta produktów zabezpieczających. Jedną rzeczą jest powiedzieć, że ją masz, ale ciężka praca poświęcona tworzeniu wykrywania wymaga lat. Nie wystarczy powiedzieć, że masz platformę Big Data, do której możesz wrzucać i przeszukiwać; potrzebujesz wykrywalnych działań, które prowadzą do znaczących korelacji. Oto dwie kluczowe kwestie, które należy wziąć pod uwagę, gdy się przyjrzysz XDR.
Normalizacja danych – Aby uzyskać pełną widoczność, pierwszą rzeczą, którą musisz wziąć pod uwagę, są same dane. Każdy produkt zabezpieczający ma inny sposób prezentowania swoich dzienników i alertów. Rozwiązania sieciowe, narzędzia bezpieczeństwa punktów końcowych, zapory ogniowe, narzędzia tożsamości, narzędzia bezpieczeństwa w chmurze i wiele innych mają własne formaty i częstotliwość alertów. Każdy SIEM narzędzie może przechowywać logi z tych urządzeń – to najłatwiejsza część.
Problem polega na tym, że tworzenie skomplikowanych, wielowymiarowych reguł, aby nadążyć za obecnym tempem ataków, jest prawie niemożliwe. Na przykład na IDS można zobaczyć ponad milion alertów dziennie. Reguły Suricata mogą być w stanie odfiltrować znane luki w zabezpieczeniach do 200,000 XNUMX, ale stamtąd zwykle trzeba by utworzyć serię reguł w oparciu o wiedzę o środowisku klienta.
To obszar, w którym wykorzystanie uczenia maszynowego (ML) w danych IDS może znacząco zredukować tę liczbę do kilku łatwych do opanowania alertów. Zamiast tworzyć reguły do wykrywania problemów, możesz wykorzystać ML do ustalenia, co jest normalnym zachowaniem w danej sieci. Kiedy klient zazwyczaj się loguje? Skąd się loguje? Jak długo zazwyczaj pozostaje zalogowany? Zamiast 200 000 alertów, detekcje ML mogą zredukować tę liczbę do kilku. Korelacja tych informacji we wszystkich narzędziach bezpieczeństwa jest znacznie szybsza i łatwiejsza. SOC analityk do zarządzania.
Otwarte Integracje – Ponadto upewnij się, że XDR Platforma rozważasz to koncepcja. Ponieważ technologie bezpieczeństwa zmieniają się szybko w ciągu najbliższych kilku lat, platformy te pomogą Ci uniknąć uzależnienia od dostawcy. Pomoże Ci to zachować zdolność dostosowywania się do zmieniającego się krajobrazu cyberbezpieczeństwa i potrzeb Twoich klientów.
W Stellar Cyber – myślimy sterowany przez API lub Open XDR to najlepsza droga naprzód – niezależnie od tego, skąd pochodzisz i jakich istniejących narzędzi używasz, i niezależnie od tego, dokąd chcesz się udać pod względem dojrzałości bezpieczeństwa. Dla nas oznacza to, że pomagamy komponować strategię, którą pracują dla Ciebie jako przedsiębiorstwa lub Twoich klientów jako MSSP, wykorzystując inwestycje, które oboje poczyniliście. Skontaktuj się ze mną, aby uzyskać żywą dyskusję: ssalinas@stellarcyber.ai
