Pierwotnie opublikowany w
Prawie każdy dostawca, od firm obsługujących bramy poczty e-mail po twórców platform do analizy zagrożeń, pozycjonuje się jako XDR gracza. Niestety, hałas wokół XDR Utrudnia kupującym znalezienie rozwiązań, które mogą być dla nich odpowiednie, lub co ważniejsze, unikanie tych, które nie spełniają ich potrzeb.
Stellar Cyber zapewnia Open XDR Rozwiązanie, które pozwala organizacjom korzystać z dowolnych narzędzi bezpieczeństwa w swoim stosie zabezpieczeń, generując alerty i logi w Stellar Cyber. „Otwarte” podejście Stellar Cyber oznacza, że platforma może współpracować z dowolnym produktem. Dzięki temu zespół ds. bezpieczeństwa może wprowadzać zmiany bez zastanawiania się, czy Stellar Cyber… Open XDR platforma nadal będzie działać.
Stellar Cyber odpowiada na potrzeby szczupłych zespołów ds. bezpieczeństwa przedsiębiorstw, zapewniając możliwości, które zwykle występują w NG-SIEM, NDR i produkty SOAR w ich Open XDR Platforma zarządzana za pomocą jednej licencji. Taka konsolidacja pozwala klientom wyeliminować złożoność stosu zabezpieczeń.
Stellar Cyber obsługuje klientów we wszystkich głównych branżach, z klientami w Europie, Azji, Australii, Japonii, Korei Południowej i Afryce, zapewniając bezpieczeństwo dla ponad 3 milionów aktywów. Ponadto, jak twierdzi Stellar Cyber, po wdrożeniu użytkownicy widzą nawet 20-krotnie szybszy średni czas odpowiedzi (MTTR), co jest śmiałym stwierdzeniem.
Odpowiadanie na incydent ze strony głównej
Po zalogowaniu się do Stellar Cyber, ekran początkowy to ekran główny analityka, pokazujący statystyki, takie jak najczęstsze incydenty i najbardziej ryzykowne aktywa. Ciekawostką na tym ekranie jest to, co Stellar Cyber nazywa Open XDR Łańcuch ataków. Kliknięcie dowolnego segmentu łańcucha ataków, takiego jak „Pierwsze próby”, wyświetla zagrożenia powiązane z tą częścią łańcucha ataków.
Na przykład użytkownik może zobaczyć te alerty z etapem „Próby wstępne” ustawionym automatycznie przez Stellar Cyber. Użytkownik może zobaczyć więcej informacji o alercie, klikając „Wyświetl” przy dowolnym alercie. Następnie, przewijając ekran w dół, użytkownik może kliknąć hiperłącze „więcej informacji”, aby wyświetlić więcej informacji o wybranym alercie.
Tutaj użytkownik może przeczytać o incydencie, przejrzeć szczegóły i zobaczyć nieprzetworzone dane związane z tym incydentem oraz JSON, który w razie potrzeby można skopiować do schowka. Ponadto, klikając przycisk „Działania”, użytkownik może zobaczyć inne zaawansowane funkcje platformy.
Użytkownik może podjąć działania w odpowiedzi na tym ekranie, takie jak „dodaj filtr, wywołaj wiadomość e-mail lub podejmij działanie zewnętrzne. Kliknięcie akcji zewnętrznej wyświetla dodatkową listę wyboru. Użytkownik może kliknąć punkt końcowy, aby zobaczyć opcje działania od hosta zawierającego do hosta zamykającego.
Po kliknięciu akcji, takiej jak zawierają host, wyświetlane jest okno dialogowe konfiguracji, w którym użytkownik może wybrać łącznik do użycia, cel akcji i wszelkie inne opcje wymagane do zainicjowania wybranej akcji. Podsumowując, analitycy bezpieczeństwa, zwłaszcza młodsi, uznają ten przepływ pracy za bardzo przydatny, ponieważ mogą a) szybko przejrzeć szczegóły incydentu z ekranu głównego, b) zobaczyć jeszcze więcej szczegółów, zagłębiając się w dane, oraz c) podjąć akcja naprawcza z tego ekranu bez pisania skryptów lub kodu.
Przedsiębiorstwo może pomóc we wdrażaniu nowych analityków, zachęcając ich do pracy w tym widoku w celu zapoznania ich z platformą, obsługi incydentów o niskim priorytecie, aby inni analitycy mogli pracować nad bardziej krytycznymi incydentami.
Odkrywanie incydentów
Zamiast kliknąć na Open XDR Kill Chain, jeśli użytkownik kliknie „Incydenty”, wyświetli się poniższy ekran.
Gdy użytkownik kliknie marchewkę w niebieskim kółku, lista filtrowania umożliwia mu dopracowanie konkretnego rodzaju incydentu. Użytkownik może przejść bezpośrednio do przycisku szczegółów, aby zobaczyć, co znajduje się w tym widoku szczegółów.
Użytkownik może zobaczyć, jak ten incydent wystąpił i rozprzestrzenił się w wielu zasobach. Ponadto użytkownik może automatycznie zobaczyć pliki, procesy, użytkowników i usługi związane z incydentem. Na przykład użytkownik może przełączyć się na widok osi czasu, aby uzyskać czytelną historię tego incydentu.
I kliknij małe „i”, aby przejść do pokazanego wcześniej ekranu szczegółów.
Podsumowując, analitycy przyzwyczajeni do pracy z listą alertów mogą chcieć rozpocząć dochodzenie od strony incydentów. Ten widok jest również korzystny, ponieważ automatycznie pokazuje wszystkie alerty związane z tym incydentem w jednym widoku.
Polowanie na zagrożenia w Stellar Cyber
Użytkownicy mogą zainicjować polowanie na zagrożenia z powyższego ekranu. Statystyki na ekranie zmieniają się dynamicznie po wpisaniu hasła, takiego jak „logowanie”, w oknie wyszukiwania. Następnie, przewijając ekran w dół, użytkownicy mogą zobaczyć listę alertów przefiltrowanych na podstawie wyszukiwanego hasła.
Użytkownicy mogą utworzyć „wyszukiwanie korelacji” w oknie dialogowym wyszukiwania.
Użytkownicy mogą załadować zapisane zapytanie lub dodać nowe zapytanie. Klikając zapytanie dodawania, użytkownik może zobaczyć ten konstruktor zapytań. Ten kreator umożliwia wyszukiwanie w magazynach danych Stellar Cyber zagrożeń, które pozostały niezauważone. Tutaj użytkownik może również uzyskać dostęp do biblioteki polowania na zagrożenia.
Wreszcie użytkownik może tworzyć akcje odpowiedzi, które są wykonywane automatycznie, jeśli zapytanie zwróci dopasowania.
Podsumowując, Stellar Cyber oferuje prostą platformę do wykrywania zagrożeń, która nie wymaga od użytkowników budowania własnego stosu ELK ani wykonywania skryptów mocy. Ta funkcja to prosty sposób na dodanie elementu wykrywania zagrożeń do zespołu ds. bezpieczeństwa bez zatrudniania starszego łowcy zagrożeń.
Podsumowanie
Stellar Cyber to solidna platforma do operacji bezpieczeństwa z wieloma funkcjami, które mogą pomóc zespołowi ds. bezpieczeństwa zwiększyć produktywność. Jeśli na rynku dla nowego Platforma SecOps i otwarty na przyjęcie (w całości lub części) nowego podejścia do bezpieczeństwa, warto przyjrzeć się ofercie Stellar Cyber. Aby dowiedzieć się więcej o Stellar Cyber, wypróbuj 5-minutowa prezentacja produktu.
