Por dentro do pipeline de dados da Stellar Cyber: o mecanismo oculto por trás de uma segurança mais inteligente

By /

Segurança impulsionada por IA, Cíber segurança, Tecnologia de TI, MSSPs, Segurança de Rede, Abrir XDR, Plataforma XDR aberta

Sumário Executivo

Os SOCs modernos estão sobrecarregados com o volume e a complexidade dos dados. A capacidade de filtrar, normalizar, enriquecer e rotear dados de segurança em escala sem perder a fidelidade impacta diretamente a precisão da detecção, a eficiência do analista e a postura de conformidade. Com a plena compreensão da importância dos desafios e das necessidades de dados dessa capacidade, o pipeline de dados da Stellar Cyber ​​não é um complemento, mas uma capacidade essencial da nossa equipe. Plataforma SecOps orientada por IA desde o início. Este white paper descreve os fundamentos técnicos do pipeline da Stellar Cyber ​​e como sua arquitetura exclusiva ajuda as equipes de segurança a unificar suas fontes de dados, reduzir o ruído e acelerar a resposta a incidentes.

Introdução: Além dos Pipelines de Dados

Enquanto alguns produtos se concentram apenas na coleta e movimentação de dados, o Stellar Cyber ​​integra uma plataforma completa de operações de segurança com um pipeline de dados profundamente projetado em seu núcleo. Esse pipeline não apenas ingere e transporta dados; ele os transforma por meio de um processo de várias etapas. filtra, normaliza, enriquece, correlaciona e encaminha para armazenamento adequado para fluxos de trabalho de detecção e resposta e para armazenamento de backup como S3. Isso permite verdadeira visibilidade, detecção e ação de ponta a ponta.

Princípios básicos do pipeline de dados cibernéticos Stellar

Para fornecer visibilidade abrangente em toda a superfície de ataque de uma organização, a solução da Stellar Cyber ​​oferece diversos métodos de coleta de dados. Ela pode coletar logs e telemetria de rede por meio de seus sensores modulares distribuídos, integrar-se a diversos aplicativos por meio de suas APIs nativas e implantar servidores. sensor para capturar dados de servidores Linux e Windows.

1. Filtragem de tráfego na borda

Ao contrário das ferramentas que filtram apenas no ponto de ingestão em um local central, os sensores da Stellar Cyber ​​aplicam filtros de tráfego e de aplicativos antes que os dados saiam da fonte. Os eventos que chegam ao pipeline são processados ​​imediatamente por encaminhadores avançados. Eles aplicam regras de filtragem refinadas em escala, de modo que apenas os dados necessários para conformidade, detecção ou análise sejam retidos. Essa filtragem pré-ingestão:
  • Remove eventos irrelevantes antecipadamente (redução de ruído na borda).
  • Reduz os requisitos de largura de banda e armazenamento descartando logs não críticos antecipadamente.
  • Oferece flexibilidade ao oferecer suporte à filtragem orientada por políticas com base no tipo de aplicativo, porta, protocolo ou regras personalizadas.

2. Normalização entre diversas fontes

O mecanismo de normalização Interflow padroniza formatos de log e esquemas de diversas fontes distintas. Isso permite:

  • Detecção automatizada por meio de aprendizado de máquina ou regras
  • Correlação automatizada de alertas individuais em casos por meio de artefatos normalizados.
  • Enriquecimento consistente para contextualização
  • Análise rápida de downstream sem análise repetida.
  • Painéis, relatórios e investigações precisos e fáceis de entender.

3. Enriquecimento contextual em tempo real na ingestão

À medida que os dados fluem para o Stellar Cyber Abrir XDR plataforma, ela é enriquecida em linha em tempo real – não após a ingestão – fornecendo telemetria de alto contexto para impulsionar detecção e resposta rápidas e precisas.

As principais dimensões de enriquecimento incluem:
  • Pesquisas GeoIP e ASN: Adiciona instantaneamente dados de país, cidade e sistema autônomo a cada evento com IPs.
  • Inteligência de ameaças em tempo real: Correlaciona-se com vários feeds de informações sobre ameaças (comerciais, de código aberto e definidos pelo cliente), aplicando pontuação de risco em tempo real.
  • Resolução de Usuário e Entidade: Mapeia logs e tráfego para identidades humanas e de máquina por meio do Active Directory, Okta, sistemas IAM e inventários de ativos.
  • Identificação do aplicativo: O mecanismo Deep Packet Inspection (DPI) e a impressão digital do aplicativo melhoram a clareza do evento além da heurística baseada em porta.
  • Marcação personalizada e injeção de contexto: Os administradores podem injetar contexto específico do negócio (por exemplo, criticidade do ativo, função, zonas de conformidade) no fluxo de dados.
Esse enriquecimento profundo e em linha garante que cada alerta e investigação comece com um contexto rico e acionável, como onde, quando, quem, o quê – minimizando o tempo de triagem, elevando a precisão da detecção e possibilitando uma análise mais rápida da causa raiz.

4. Mascaramento e Redação de PII/PHI

O pipeline inclui filtros baseados em expressões regulares e recursos de mascaramento para ocultar automaticamente campos confidenciais, como informações de identificação pessoal ou informações de saúde protegidas. Isso ajuda as organizações a atender aos requisitos regulatórios e, ao mesmo tempo, aproveitar os dados para análises de segurança.

5. Roteamento e Multiplexação

Com perfis de roteamento, eventos enriquecidos podem ser enviados para vários destinos simultaneamente (SIEMs, quaisquer data lakes compatíveis com S3 ou Snowflake, sistemas de emissão de tickets ou clusters de análise). Isso permite que as equipes:
  • Evite a dependência de fornecedores.
  • Atenda a diversas necessidades de armazenamento, conformidade ou análise.
  • Alimente equipes ou ferramentas separadas sem duplicar esforços de ingestão.

6. Detecção e desduplicação de anomalias em tempo real

Os módulos de ML de detecção de anomalias em linha e pós-ingestão identificam discrepâncias à medida que os dados chegam. A desduplicação e a agregação reduzem ainda mais o volume de dados sem sacrificar a fidelidade, ideal para ambientes com alto EPS e vários terabytes/dia.

7. Arquitetura MSSP multilocatário

Desde o início, a Stellar Cyber ​​incorporou recursos multilocatários à sua plataforma. Os MSSPs podem gerenciar múltiplos clientes com segurança, com isolamento total de dados, diferentes opções de armazenamento, diferentes períodos de retenção, políticas e relatórios, etc. Isso dá aos MSSPs o controle para oferecer diferentes opções para atender às necessidades de seus clientes.

8. Integração de plataforma nativa

O pipeline faz parte da arquitetura nativa da Stellar Cyber, sem complementos ou dependências de terceiros. Isso garante:
  • Latência mais baixa.
  • Atualizações mais rápidas e escalabilidade.
  • Postura consistente de segurança e conformidade
  • Loop de feedback imediato entre o pós-processamento e o mecanismo de dados.

9. Flexibilidade na migração de dados

A Stellar Cyber ​​oferece suporte à migração de SIEMs legados para novos data lakes ou plataformas de análise usando conectores e perfis de roteamento, preservando a continuidade e evitando projetos caros de remoção e substituição.

Escalabilidade e Maturidade

A arquitetura de pipeline da Stellar Cyber ​​foi comprovada em implantações globais de vários terabytes por dia. Os clientes escalam rotineiramente para dezenas de milhares de endpoints e dezenas de fontes de dados sem gargalos. A maturidade da plataforma permite que as equipes de segurança implantem rapidamente, integrem-se amplamente e confiem no pipeline em produção.

Por que o pipeline de dados da Stellar Cyber ​​é importante

Como o pipeline está integrado a uma plataforma SecOps orientada por IA, os analistas obtêm não apenas dados limpos, mas também detecção, investigação e resposta automatizadas, tudo a partir de um único ambiente unificado. Isso significa:
  • MTTR mais rápido.
  • Maior eficiência dos analistas.
  • Redução de custos de infraestrutura.
  • Visibilidade total da ingestão à remediação.

Conclusão

O pipeline de dados da Stellar Cyber ​​é mais do que apenas um mecanismo de transporte; é a espinha dorsal de uma plataforma unificada de operações de segurança alimentada por IA. Ao filtrar na fonte, normalizar em diversos feeds, enriquecer com contexto e rotear dados de forma flexível, a Stellar Cyber ​​capacita as equipes de SOC a operar em escala, eliminar ruídos e responder a ameaças com mais rapidez.

Artigos relacionados

Voltar ao Topo
Inscreva-se para receber boletins informativos