Para fornecedores de segurança e aqueles no XDR mercado especificamente, existe um eixo arquitetônico de construir vs. integrar. De um lado você tem “Construir / Adquirir Tudo” – fornecedores que são integrados verticalmente e desejam ser toda a pilha de segurança de uma empresa. Na outra ponta, você tem “Integre com tudo” – fornecedores que constroem um único componente ou API destinado a ser integrado em uma arquitetura maior. Há prós e contras para ambas as abordagens. O campo “Construir / Adquirir Tudo” pode conectar firmemente todos os componentes para criar uma experiência de segurança coesa, mas eles fazem isso às custas de serem focados e provavelmente não serão os melhores. O campo “Integrar com tudo” se deleita com o foco concedido e pode criar um produto fantástico com escopo mínimo, mas exige que um determinado comprador os inclua em seu portfólio de segurança mais amplo.
Na Stellar Cyber, adotamos a abordagem de estar em algum lugar no meio desse eixo arquitetônico – um equilíbrio entre recursos integrados (principalmente NDR, SIEM, DICA, e a XDR Motor AI) e recursos com os quais nos integramos. Uma das classes de produtos mais importantes com as quais nos integramos é o EDR. Recentemente anunciamos o O primeiro EDR universal da indústria, que é a capacidade de trazer qualquer EDR ou EDR para nossa plataforma, e nós não apenas os apoiamos, mas os tornamos melhores, garantindo um nível de fidelidade, independentemente da escolha de EDR. Em outras palavras, ele permite que os usuários obtenham o melhor das abordagens integradas e integradas – oferece uma Integração EDR universal onde o produto que está sendo integrado é tão fortemente integrado que se comporta como se fosse uma parte nativa da plataforma, mas a plataforma permanece aberta.
Um dos maiores desafios técnicos que encontramos ao desenvolver esse recurso foi como gerar alertas de alta fidelidade de forma consistente, independentemente do fornecedor de EDR. Descrevemos nossa abordagem técnica como “Caminhos de Alerta” ou as técnicas de processamento necessárias para ir dos dados EDR de origem a um alerta de alta fidelidade no Stellar Cyber. Todo EDR é diferente, que foi a base para a necessidade de desenvolver uma estrutura para lidar com cada EDR de forma eficaz.
A estrutura e os caminhos de alerta descritos abaixo são recursos de back-end prontamente disponíveis no Stellar Cyber Open XDR Plataforma.
Caminho de alerta 1 – “Enriquecimento de passagem”
A técnica de “Enriquecimento de Passagem” leva alertas da fonte Sistemas EDR, então enriquece esses alertas com inteligência de ameaças adicional e os alinha a MITER ATT & CK. De certa forma, isso é como adicionar algum contexto adicional depois de relatar novamente as notícias, mas pode ser altamente eficaz se alguns alertas específicos na fonte EDR são da mais alta fidelidade. No entanto, em nossa pesquisa, essa abordagem é, na melhor das hipóteses, apenas parcialmente aplicável a qualquer dado EDR.
Caminho de alerta 2 – “Desduplicação”
A técnica "Desduplicação" aplica o Machine Learning para identificar o EDR de origem alertas que são duplicados e provavelmente fazem parte da mesma atividade e geram um único alerta no Stellar Cyber para melhorar a automação e o desempenho do analista.
Caminho de alerta 3 – “Com base em eventos de aprendizado de máquina”
A técnica “Machine Learning Event-Based” é a técnica mais desafiadora porque todas as fontes de EDR eventos e alertas são processados por meio de diferentes modelos de alerta de ML que geram novos alertas inovadores no Stellar Cyber. Isso requer um estudo de dados significativo e um processo de normalização robusto para ser implementado em todos os fornecedores de EDR.
Nossa abordagem ao EDR universal
Nosso princípio orientador para projetar essa estrutura é o resultado de segurança para o usuário final. Como nenhum EDR é o mesmo, isso significa que aplicamos diferentes caminhos de alerta a diferentes subconjuntos de alertas e eventos em diferentes produtos de EDR. Por exemplo, o EDR 1 pode ter 10% de passagem, 50% de desduplicação e 40% de aprendizado de máquina baseado em eventos, enquanto para o EDR 2 essas proporções podem ser 0%, 80% e 20%, respectivamente.
Para uma empresa que não cria um EDR interno, nos encontramos na vanguarda da pesquisa de segurança baseada em endpoints. Isso é internamente empolgante para a própria fronteira, mas o mais importante é o que significa para nossos clientes. Há muito mais trabalho a ser feito e, se você estiver interessado em se juntar à nossa talentosa equipe de segurança ou engenharia, confira nosso vagas de emprego.
