Wewnątrz kanału danych Stellar Cyber: Ukryty silnik stojący za inteligentniejszym bezpieczeństwem

By /

Bezpieczeństwo oparte na sztucznej inteligencji, Bezpieczeństwo cybernetyczne, Technologia informatyczna, MSSP, Bezpieczeństwo sieci, Open XDR, Open XDR Platforma

Streszczenie

Nowoczesne technologie SOCs są przytłoczeni ilością i złożonością danych. Możliwość filtrowania, normalizacji, wzbogacania i kierowania danymi bezpieczeństwa na dużą skalę bez utraty wierności bezpośrednio wpływa na dokładność wykrywania, wydajność analityków i zgodność z przepisami. Dzięki pełnemu zrozumieniu wagi wyzwań i potrzeb związanych z danymi, potok danych Stellar Cyber ​​nie jest dodatkiem, lecz podstawową funkcjonalnością naszego systemu. Platforma SecOps oparta na sztucznej inteligencji od samego początku. Niniejszy dokument techniczny przedstawia techniczne podstawy systemu Stellar Cyber ​​i to, jak jego unikalna architektura pomaga zespołom ds. bezpieczeństwa ujednolicić źródła danych, ograniczyć szum informacyjny i przyspieszyć reagowanie na incydenty.

Wprowadzenie: Poza kanałami danych

Podczas gdy niektóre produkty koncentrują się wyłącznie na gromadzeniu i przesyłaniu danych, Stellar Cyber ​​integruje kompleksową platformę operacji bezpieczeństwa z głęboko zaawansowaną, zaawansowaną technologią przetwarzania danych. Technologia ta nie tylko pobiera i przesyła dane, ale także przetwarza je w wieloetapowym procesie. filtruje, normalizuje, wzbogaca, koreluje i kieruje do właściwego magazynu na potrzeby przepływów pracy związanych z wykrywaniem i reagowaniem oraz do magazynu kopii zapasowych, takiego jak S3. Dzięki temu możliwe jest kompleksowe monitorowanie, wykrywanie i podejmowanie działań.

Podstawowe zasady cybernetycznego systemu danych Stellar

Aby zapewnić wszechstronną widoczność całej powierzchni ataku w organizacji, rozwiązanie Stellar Cyber ​​oferuje wiele metod gromadzenia danych. Może gromadzić logi i dane telemetryczne sieci za pośrednictwem rozproszonych, modułowych czujników, integrować się z wieloma aplikacjami za pośrednictwem ich natywnych interfejsów API oraz wdrażać serwery. czujniki do przechwytywania danych z serwerów Linux i Windows.

1. Filtrowanie ruchu na krawędzi

W przeciwieństwie do narzędzi, które filtrują tylko w punkcie ingestii w centralnej lokalizacji, czujniki Stellar Cyber ​​stosują filtry ruchu i aplikacji, zanim dane opuszczą źródło. Zdarzenia docierające do potoku są natychmiast przetwarzane przez zaawansowane mechanizmy przekierowujące (Forwarders). Stosują one precyzyjne reguły filtrowania na dużą skalę, dzięki czemu zachowywane są tylko dane potrzebne do zapewnienia zgodności, wykrywania lub analizy. To filtrowanie przed ingestią:
  • Wcześnie usuwa nieistotne zdarzenia (redukcja szumów na krawędzi).
  • Obniża wymagania dotyczące przepustowości i pamięci masowej odrzucając z góry niekrytyczne logi.
  • Zapewnia elastyczność dzięki obsłudze filtrowania opartego na zasadach na podstawie typu aplikacji, portu, protokołu lub niestandardowych reguł.

2. Normalizacja w różnych źródłach

Silnik normalizacyjny Interflow standaryzuje formaty i schematy logów z wielu różnych źródeł. Umożliwia to:

  • Automatyczne wykrywanie za pomocą uczenia maszynowego lub reguł
  • Zautomatyzowana korelacja poszczególnych alertów ze sprawami poprzez znormalizowane artefakty.
  • Spójne wzbogacanie w celu kontekstualizacji
  • Szybka analiza downstream bez konieczności ponownego analizowania.
  • Dokładne, łatwe do zrozumienia pulpity nawigacyjne, raporty i dochodzenia.

3. Wzbogacanie kontekstowe w czasie rzeczywistym podczas pobierania

W miarę przepływu danych do Stellar Cyber Open XDR platforma jest wzbogacana inline w czasie rzeczywistym – a nie po przetworzeniu – dostarczając dane telemetryczne o wysokim kontekście, co umożliwia szybkie i dokładne wykrywanie oraz reagowanie.

Kluczowe wymiary wzbogacania obejmują:
  • Wyszukiwanie GeoIP i ASN: Natychmiast dodaje do każdego zdarzenia dane dotyczące kraju, miasta i systemu autonomicznego za pomocą adresów IP.
  • Analiza zagrożeń w czasie rzeczywistym: Współpracuje z wieloma źródłami informacji o zagrożeniach (komercyjnymi, typu open source i zdefiniowanymi przez klienta), stosując ocenę ryzyka w czasie rzeczywistym.
  • Rozdzielczość użytkownika i jednostki: Mapuje logi i ruch na tożsamości ludzkie i maszynowe za pośrednictwem usług Active Directory, Okta, systemów IAM i inwentaryzacji zasobów.
  • Identyfikacja aplikacji: Silnik głębokiej inspekcji pakietów (DPI) i odciski palców aplikacji zwiększają przejrzystość zdarzeń wykraczającą poza heurystykę opartą na portach.
  • Tagowanie niestandardowe i wstrzykiwanie kontekstu: Administratorzy mogą wprowadzać do strumienia danych kontekst specyficzny dla danej firmy (np. krytyczność aktywów, funkcję, strefy zgodności).
To dogłębne, zintegrowane wzbogacanie gwarantuje, że każdy alert i dochodzenie rozpoczynają się od bogatego, praktycznego kontekstu, takiego jak gdzie, kiedy, kto, co – minimalizując czas wstępnej selekcji, zwiększając precyzję wykrywania i umożliwiając szybszą analizę przyczyn źródłowych.

4. Maskowanie i redagowanie informacji osobowych i informacji chronionych (PII/PHI)

Proces obejmuje filtry oparte na wyrażeniach regularnych i funkcje maskowania, które automatycznie usuwają wrażliwe pola, takie jak dane osobowe lub chronione informacje o stanie zdrowia. Pomaga to organizacjom spełniać wymogi regulacyjne, jednocześnie wykorzystując dane do analizy bezpieczeństwa.

5. Trasowanie i multipleksowanie

Dzięki profilom routingu wzbogacone zdarzenia mogą być wysyłane do wielu miejsc docelowych jednocześnie (SIEMs, dowolne jeziora danych zgodne z S3 lub Snowflake, systemy zgłoszeń lub klastry analityczne). Pozwala to zespołom na:
  • Unikaj uzależnienia od jednego dostawcy.
  • Spełnij różnorodne potrzeby w zakresie przechowywania danych, zgodności i analiz.
  • Przekazuj dane oddzielnym zespołom lub narzędziom, bez konieczności dublowania działań związanych z przetwarzaniem.

6. Wykrywanie anomalii i deduplikacja w czasie rzeczywistym

Moduły wykrywania anomalii inline i uczenia maszynowego po wczytaniu danych identyfikują wartości odstające w momencie ich napływu. Deduplikacja i agregacja dodatkowo zmniejszają objętość danych bez utraty wierności, co jest idealne w środowiskach o wysokim EPS i przepustowości wielu terabajtów dziennie.

7. Architektura MSSP dla wielu najemców

Od samego początku Stellar Cyber ​​wbudował w swoją platformę funkcje obsługi wielu klientów. Dostawcy usług zarządzanych (MSSP) mogą bezpiecznie zarządzać wieloma klientami, zapewniając pełną izolację danych, różne opcje przechowywania, różne okresy retencji, polityki i raportowanie itp. Daje to dostawcom MSSP kontrolę nad oferowaniem różnych opcji, aby sprostać potrzebom klientów.

8. Integracja z platformą natywną

Pipeline jest częścią natywnej architektury Stellar Cyber ​​i nie wymaga żadnych dodatków ani zależności od firm trzecich. Gwarantuje to:
  • Niższe opóźnienie.
  • Szybsze aktualizacje i skalowalność.
  • Spójna postawa bezpieczeństwa i zgodności
  • Natychmiastowa pętla sprzężenia zwrotnego między przetwarzaniem końcowym a silnikiem danych.

9. Elastyczność migracji danych

Stellar Cyber ​​obsługuje migrację ze starszych wersji SIEMdo nowych jezior danych lub platform analitycznych przy użyciu łączników i profili routingu, co pozwala zachować ciągłość i uniknąć kosztownych projektów typu „wyrzuć i zamień”.

Skalowalność i dojrzałość

Architektura potokowa Stellar Cyber ​​sprawdziła się w globalnych wdrożeniach o przepustowości wielu terabajtów dziennie. Klienci rutynowo skalują się do dziesiątek tysięcy punktów końcowych i dziesiątek źródeł danych bez wąskich gardeł. Dojrzałość platformy pozwala zespołom ds. bezpieczeństwa na szybkie wdrażanie, szeroką integrację i zaufanie do potoku w środowisku produkcyjnym.

Dlaczego przepływ danych Stellar Cyber ​​jest ważny

Ponieważ proces jest osadzony w platformie SecOps opartej na sztucznej inteligencji, analitycy otrzymują nie tylko czyste dane, ale także zautomatyzowane wykrywanie, badanie i reagowanie, a wszystko to z poziomu jednego, ujednoliconego środowiska. Oznacza to:
  • Krótszy MTTR.
  • Większa efektywność analityka.
  • Niższe koszty infrastruktury.
  • Pełna przejrzystość od pobrania do remediacji.

Podsumowanie

System danych Stellar Cyber ​​to coś więcej niż tylko mechanizm transportowy; to kręgosłup zunifikowanej platformy operacji bezpieczeństwa opartej na sztucznej inteligencji. Dzięki filtrowaniu u źródła, normalizacji w różnych kanałach, wzbogacaniu o kontekst i elastycznemu routingowi danych, Stellar Cyber ​​zapewnia… SOC zespołom możliwość działania na dużą skalę, eliminowania zakłóceń i szybszego reagowania na zagrożenia.

Podobne posty

Przewiń do góry
Zarejestruj się, aby otrzymywać biuletyny