Postado originalmente em
Quase todos os fornecedores, desde empresas de gateways de e-mail até desenvolvedores de plataformas de inteligência contra ameaças, estão se posicionando como uma solução. XDR jogador. Mas infelizmente, o ruído ao redor XDR Isso dificulta que os compradores encontrem soluções que possam ser adequadas para eles ou, mais importante, evitem aquelas que não atendem às suas necessidades.
A Stellar Cyber oferece um Open XDR A Stellar Cyber é uma solução que permite às organizações usar quaisquer ferramentas de segurança que desejarem em seu conjunto de ferramentas de segurança, enviando alertas e registros para a plataforma. A abordagem "aberta" da Stellar Cyber significa que sua plataforma pode funcionar com qualquer produto. Como resultado, uma equipe de segurança pode fazer alterações sem se preocupar com a compatibilidade com a Stellar Cyber. Open XDR A plataforma ainda funcionará.
A Stellar Cyber atende às necessidades de equipes de segurança corporativa enxutas, fornecendo recursos normalmente encontrados em NG-SIEM, NDR e produtos SOAR em seus Open XDR Plataforma gerenciada por uma única licença. Essa consolidação permite que os clientes eliminem a complexidade da pilha de segurança.
Clientes de serviços Stellar Cyber em todos os principais setores, com clientes na Europa, Ásia, Austrália, Japão, Coreia do Sul e África, fornecendo segurança para mais de 3 milhões de ativos. Além disso, Stellar Cyber afirma que após a implantação, os usuários veem um tempo médio de resposta (MTTR) até 20 vezes mais rápido, uma afirmação ousada.
Respondendo a um incidente na página inicial
Ao acessar o Stellar Cyber, a tela inicial é a tela inicial do analista, exibindo estatísticas como os principais incidentes e os ativos de maior risco. Um recurso interessante nessa tela é o que o Stellar Cyber chama de Open XDR Cadeia de Ataque. Clicar em qualquer segmento da cadeia de ataque, como "Tentativas Iniciais", mostra as ameaças associadas a essa parte da cadeia de ataque.
Por exemplo, o usuário pode ver esses alertas com o estágio “Initial Attempts” definido pelo Stellar Cyber automaticamente. O usuário pode ver mais informações sobre o alerta clicando em “Visualizar” em qualquer um dos alertas. Em seguida, rolando a tela para baixo, o usuário pode clicar no hiperlink “mais informações” para ver mais informações sobre o alerta selecionado.
Aqui, um usuário pode ler sobre o incidente, revisar os detalhes e ver os dados brutos por trás desse incidente e o JSON, que pode ser copiado para uma área de transferência, se necessário. Além disso, ao clicar no botão “Ações”, o usuário pode ver outros recursos poderosos da plataforma.
O usuário pode realizar ações de resposta nessa tela, como “adicionar um filtro, acionar um email ou realizar uma ação externa. Clicar na ação externa mostra uma lista de opções adicional. O usuário pode clicar em Endpoint para ver as opções de ação de host para host de encerramento.
Ao clicar em uma ação, como conter host, uma caixa de diálogo de configuração é exibida onde o usuário pode selecionar o conector a ser usado, o destino da ação e quaisquer outras opções necessárias para iniciar a ação escolhida. Em resumo, os analistas de segurança, especialmente os juniores, acharão esse fluxo de trabalho muito útil, pois podem a) revisar rapidamente os detalhes de um incidente na tela inicial, b) ver ainda mais detalhes analisando os dados e c) uma ação de correção desta tela sem escrever nenhum script ou código.
A empresa pode ajudar a integrar novos analistas fazendo com que eles trabalhem nessa visão para familiarizá-los com a plataforma, lidando com incidentes de baixa prioridade para que outros analistas possam trabalhar nos incidentes mais críticos.
Explorando Incidentes
Em vez de clicar no Open XDR No Kill Chain, se o usuário clicar em “Incidentes”, a tela abaixo será exibida.
Quando o usuário clica na cenoura no círculo azul, uma lista de filtragem permite que o usuário aprimore um tipo específico de incidente. O usuário pode ir diretamente ao botão de detalhes para ver o que está nesta visualização de detalhes.
O usuário pode ver como esse incidente ocorreu e se propagou em vários ativos. Além disso, o usuário pode ver automaticamente os arquivos, processos, usuários e serviços associados ao incidente. Assim, por exemplo, o usuário pode alternar para a visualização da linha do tempo para obter um histórico legível desse incidente.
E clique no pequeno “i” para chegar à tela de detalhes mostrada anteriormente.
Em resumo, os analistas que estão acostumados a trabalhar com uma lista de alertas podem querer iniciar suas investigações na página de incidentes. Essa visualização também é benéfica, pois mostra automaticamente todos os alertas associados a esse incidente em uma única visualização.
Caça a ameaças em Stellar Cyber
Os usuários podem iniciar uma caça a ameaças na tela acima. As estatísticas na tela mudam dinamicamente digitando um termo, como “login”, na caixa de diálogo de pesquisa. Em seguida, rolando a tela para baixo, os usuários podem ver uma lista de alertas filtrados com base no termo de pesquisa.
Os usuários podem criar uma “pesquisa de correlação” na caixa de diálogo de pesquisa.
Os usuários podem carregar uma consulta salva ou adicionar uma nova consulta. Clicando na consulta adicionar, o usuário pode ver este construtor de consultas. Esse construtor permite uma pesquisa nos datastores Stellar Cyber para ameaças que passaram despercebidas. Aqui o usuário também pode acessar a biblioteca de caça a ameaças.
Por fim, o usuário pode criar ações de resposta que são executadas automaticamente se a consulta retornar correspondências.
Em resumo, o Stellar Cyber oferece uma plataforma simples de caça a ameaças que não exige que os usuários construam sua própria pilha ELK ou sejam um script poderoso. Esse recurso é uma maneira fácil de adicionar um elemento de caça a ameaças a uma equipe de segurança sem contratar um caçador de ameaças sênior.
Conclusão
Stellar Cyber é uma plataforma de operações de segurança sólida com muitos recursos que podem ajudar uma equipe de segurança a melhorar a produtividade. Se no mercado para um novo desenvolvida especificamente e aberto a adotar (no todo ou em parte) uma nova abordagem de segurança, vale a pena dar uma olhada no que Stellar Cyber oferece. Para saber mais sobre Stellar Cyber, experimente o Tour do produto de 5 minutos.
