Dla dostawców zabezpieczeń i tych w XDR rynek specjalnie, istnieje architektoniczna oś budowania vs. integracja. Z jednej strony masz „Buduj / zdobywaj wszystko” – dostawcy, którzy są zintegrowani pionowo i chcą być całym stosem zabezpieczeń przedsiębiorstwa. Z drugiej strony masz „Integruj się ze wszystkim” – dostawcy, którzy budują pojedynczy komponent lub API, które mają zostać połączone w większą architekturę. Oba podejścia mają swoje plusy i minusy. Obóz „Buduj/Zdobądź wszystko” może ściśle połączyć wszystkie komponenty, aby stworzyć spójne środowisko bezpieczeństwa, ale robią to kosztem skupienia i prawdopodobnie nie będą najlepsze w swojej klasie. Obóz „Integracja ze wszystkim” cieszy się ich koncentracją i może stworzyć fantastyczny produkt o minimalnym zakresie, ale wymaga od pewnego nabywcy umieszczenia ich w swoim szerszym portfolio zabezpieczeń.
W Stellar Cyber przyjmujemy podejście polegające na byciu gdzieś pośrodku tej osi architektonicznej – równowaga między wbudowanymi możliwościami (zwłaszcza NDR, SIEM, TIPi XDR Silnik AI) oraz możliwości, z którymi się integrujemy. Jedną z najważniejszych klas produktów, z którymi się integrujemy, jest EDR. Niedawno ogłosiliśmy Pierwszy w branży uniwersalny EDR, czyli możliwość wprowadzenia dowolnych EDR lub EDR na naszą platformę i nie tylko je wspieramy, ale także ulepszamy, zapewniając jednocześnie poziom wierności niezależnie od wyboru EDR. Innymi słowy, umożliwia użytkownikom najlepsze wykorzystanie wbudowanych i zintegrowanych podejść – oferuje Uniwersalna integracja EDR gdzie integrowany produkt jest tak ściśle zintegrowany, że zachowuje się tak, jakby był natywną częścią platformy, a mimo to platforma pozostaje otwarta.
Jednym z największych wyzwań technicznych, jakie napotkaliśmy podczas rozwijania tej funkcji, było to, jak konsekwentnie generować alerty o wysokiej jakości niezależnie od dostawcy EDR. Opisujemy nasze podejście techniczne jako „Ścieżki alertów” lub technik przetwarzania wymaganych do przejścia od źródłowych danych EDR do alertu o wysokiej wierności w Stellar Cyber. Każdy EDR jest inny, co było podstawą do opracowania ram, aby skutecznie obsługiwać każdą EDR.
Opisane poniżej ramy i ścieżki alertów są łatwo dostępnymi funkcjami zaplecza w Gwiezdny Cyber Open XDR Platforma.
Ścieżka alertów 1 – „Przejście wzbogacenia”
Technika „wzbogacania przejścia” wymaga Alerty ze źródła Systemy EDR, a następnie wzbogaca te alerty o dodatkowe informacje o zagrożeniach i dostosowuje je do: MITER ATT & CK. W pewnym sensie przypomina to dodanie dodatkowego kontekstu po ponownym zgłoszeniu wiadomości, ale może być bardzo skuteczne, jeśli niektóre konkretne alerty w źródle EDR są najwyższej wierności. Jednak w naszych badaniach to podejście jest w najlepszym przypadku tylko częściowo możliwe do zastosowania w przypadku dowolnego danego EDR.
Ścieżka alertów 2 – „Deduplikacja”
Technika „Deduplikacji” wykorzystuje uczenie maszynowe do identyfikacji źródła EDR Alerty które są powielane i prawdopodobnie stanowią część tej samej czynności, a także generują pojedynczy alert w ramach Stellar Cyber w celu poprawy automatyzacji i wydajności analityków.
Ścieżka alertów 3 — „Uczenie maszynowe oparte na zdarzeniach”
Technika „Oparta na zdarzeniach uczenia maszynowego” jest najtrudniejsza technicznie, ponieważ wszystkie źródła EDR zdarzenia i alerty są przetwarzane za pomocą różnych modeli alertów ML, które generują nowe, nowatorskie alerty w ramach Stellar Cyber. Wymaga to znacznej analizy danych i solidnego procesu normalizacji, aby uzyskać dostęp do dostawców EDR.
Nasze podejście do uniwersalnego EDR
Naszą wiodącą zasadą przy projektowaniu tych ram jest wynik bezpieczeństwa dla użytkownika końcowego. Ponieważ żaden EDR nie jest taki sam, oznacza to, że stosujemy różne ścieżki alertów do różnych podzbiorów alertów i zdarzeń w różnych produktach EDR. Na przykład EDR 1 może mieć 10% passthrough, 50% deduplikacji i 40% opartej na zdarzeniach uczenia maszynowego, podczas gdy dla EDR 2 te współczynniki mogą wynosić odpowiednio 0%, 80% i 20%.
W przypadku firmy, która nie buduje własnego EDR, znajdujemy się w czołówce badań nad bezpieczeństwem punktów końcowych. Jest to wewnętrznie ekscytujące dla samego pogranicza, ale przede wszystkim ze względu na to, co oznacza dla naszych klientów. Jest o wiele więcej pracy do wykonania, a jeśli jesteś zainteresowany dołączeniem do naszego utalentowanego zespołu ds. bezpieczeństwa lub inżynierów, zapoznaj się z naszym oferty pracy.
