ปัญญาประดิษฐ์, EDR - การตรวจจับและตอบสนองปลายทาง, การแจ้งเตือน EDR, สพป, NDR, การรักษาความปลอดภัยเครือข่าย, การวิเคราะห์ปริมาณการใช้งานเครือข่าย, เปิด XDR, เปิดแพลตฟอร์ม XDR, SOC, การยอมรับ XDR, โซลูชั่น XDR

แนวทางทางเทคนิคสู่ Universal EDR

สำหรับผู้จำหน่ายความปลอดภัยและผู้ที่อยู่ใน ตลาด XDR โดยเฉพาะมีแกนทางสถาปัตยกรรมของการสร้างเทียบกับการบูรณาการ ด้านหนึ่งคุณมี “สร้าง / รับทุกอย่าง” – ผู้ขายที่มีการบูรณาการในแนวตั้งและต้องการเป็นกองความปลอดภัยทั้งหมดขององค์กร อีกด้านหนึ่ง คุณมี “บูรณาการกับทุกสิ่ง” – ผู้ขายที่สร้างส่วนประกอบเดียวหรือ API ที่ตั้งใจจะรวมเข้ากับสถาปัตยกรรมที่ใหญ่ขึ้น มีข้อดีและข้อเสียสำหรับทั้งสองวิธี ค่าย "สร้าง / รับทุกอย่าง" สามารถเชื่อมโยงส่วนประกอบทั้งหมดเข้าด้วยกันเพื่อสร้างประสบการณ์ด้านความปลอดภัยที่เหนียวแน่น แต่พวกเขาทำโดยเสียสมาธิและไม่น่าจะดีที่สุดในสายพันธุ์ ค่าย "บูรณาการกับทุกสิ่ง" สนุกสนานกับการมุ่งเน้นที่คุ้มค่าและสามารถสร้างผลิตภัณฑ์ที่ยอดเยี่ยมด้วยขอบเขตที่น้อยที่สุด แต่ต้องการให้ผู้ซื้อบางรายจัดชั้นผลิตภัณฑ์เหล่านี้ไว้ในพอร์ตโฟลิโอการรักษาความปลอดภัยที่กว้างขึ้น

ที่ Stellar Cyber ​​เราใช้แนวทางของการอยู่ตรงกลางของแกนสถาปัตยกรรมนี้ – ความสมดุลระหว่างความสามารถในตัว (ที่โดดเด่น NDR, SIEM, TIPและ เครื่องยนต์ XDR AI) และความสามารถที่เราผสานรวมเข้าด้วยกัน หนึ่งในกลุ่มผลิตภัณฑ์ที่สำคัญที่สุดที่เราผสานรวมเข้าด้วยกันคือ EDR เราเพิ่งประกาศ Universal EDR . เครื่องแรกของอุตสาหกรรมซึ่งเป็นความสามารถในการนำ EDR หรือ EDR ใดๆ มาสู่แพลตฟอร์มของเรา และเราไม่เพียงแต่สนับสนุนเท่านั้น แต่เราทำให้ดีขึ้นในขณะที่รับรองระดับความเที่ยงตรงโดยไม่คำนึงถึงตัวเลือก EDR กล่าวอีกนัยหนึ่ง มันช่วยให้ผู้ใช้ได้รับสิ่งที่ดีที่สุดในตัวและบูรณาการวิธีการ – เสนอ an การรวม EDR สากล โดยที่ผลิตภัณฑ์ที่ผสานรวมเข้าด้วยกันอย่างแน่นหนาจนทำงานราวกับว่าเป็นส่วนหนึ่งของแพลตฟอร์ม แต่แพลตฟอร์มยังคงเปิดอยู่

หนึ่งในความท้าทายทางเทคนิคที่ใหญ่ที่สุดที่เราพบเมื่อพัฒนาความสามารถนี้คือวิธีสร้างการแจ้งเตือนที่มีความเที่ยงตรงสูงอย่างสม่ำเสมอโดยไม่คำนึงถึงผู้จำหน่าย EDR เราอธิบายแนวทางทางเทคนิคของเราว่า “เส้นทางการแจ้งเตือน” หรือเทคนิคการประมวลผลที่จำเป็นในการเปลี่ยนจากข้อมูล EDR ต้นทางไปยังการแจ้งเตือนที่มีความเที่ยงตรงสูงใน Stellar Cyber ทั้งหมด EDR แตกต่างกันซึ่งเป็นพื้นฐานสำหรับความจำเป็นในการพัฒนากรอบงานเพื่อจัดการกับ EDR แต่ละชนิดอย่างมีประสิทธิภาพ

กรอบงานและเส้นทางการแจ้งเตือนที่อธิบายไว้ด้านล่างเป็นคุณลักษณะแบ็กเอนด์ที่พร้อมใช้งานใน แพลตฟอร์ม Stellar Cyber ​​Open XDR.

 

Alert Pathway 1 – “การเสริมความสมบูรณ์ของ Passthrough”

เทคนิค “Passthrough Enrichment” รับการแจ้งเตือนจากระบบ EDR ต้นทาง จากนั้นเพิ่มพูนการแจ้งเตือนเหล่านั้นด้วยข่าวกรองภัยคุกคามเพิ่มเติม และปรับให้เข้ากับ MITER ATT&CK ในแง่หนึ่ง นี่เหมือนกับการเพิ่มบริบทเพิ่มเติมหลังจากรายงานข่าวอีกครั้ง แต่อาจมีประสิทธิภาพสูงหากการแจ้งเตือนบางรายการใน EDR ต้นทางมีความเที่ยงตรงสูงสุด อย่างไรก็ตาม ในการวิจัยของเรา แนวทางนี้ใช้ได้กับ EDR เพียงบางส่วนเท่านั้น

เทคนิค “Passthrough Enrichment” ใช้เวลา การแจ้งเตือน จากแหล่งที่มา ระบบ EDRจากนั้นเพิ่มพูนการแจ้งเตือนเหล่านั้นด้วยข่าวกรองภัยคุกคามเพิ่มเติมและปรับให้เข้ากับ MITER ATT&CK. ในแง่หนึ่ง ก็เหมือนการเพิ่มบริบทเพิ่มเติมหลังจากรายงานข่าวอีกครั้ง แต่อาจมีประสิทธิภาพสูงหากมีการแจ้งเตือนบางอย่างในแหล่งที่มา EDR มีความเที่ยงตรงสูงสุด อย่างไรก็ตาม ในการวิจัยของเรา แนวทางนี้ใช้ได้ดีเพียงบางส่วนเท่านั้น EDR.

 

Alert Pathway 2 – “การขจัดข้อมูลซ้ำซ้อน”

เทคนิค "การขจัดข้อมูลซ้ำซ้อน" ใช้การเรียนรู้ของเครื่องเพื่อระบุแหล่งที่มาของ EDR การแจ้งเตือน ที่ซ้ำซ้อนและน่าจะเป็นส่วนหนึ่งของกิจกรรมเดียวกัน และสร้างการแจ้งเตือนเดียวภายใน Stellar Cyber ​​เพื่อปรับปรุงระบบอัตโนมัติและประสิทธิภาพของนักวิเคราะห์

 

Alert Pathway 3 – “การเรียนรู้ของเครื่องตามเหตุการณ์”

เทคนิค "แมชชีนเลิร์นนิงตามเหตุการณ์" เป็นเทคนิคที่ท้าทายที่สุดเนื่องจาก EDR . แหล่งที่มาทั้งหมด เหตุการณ์และการแจ้งเตือน ได้รับการประมวลผลผ่านรูปแบบการแจ้งเตือน ML ต่างๆ ที่สร้างการแจ้งเตือนใหม่ภายใน Stellar Cyber สิ่งนี้ต้องการการศึกษาข้อมูลที่สำคัญและกระบวนการทำให้เป็นมาตรฐานที่แข็งแกร่งเพื่อดึงออกจากผู้จำหน่าย EDR

 

แนวทางของเราสู่ Universal EDR

หลักการชี้นำของเราในการออกแบบเฟรมเวิร์กนี้คือผลลัพธ์ด้านความปลอดภัยสำหรับผู้ใช้ปลายทาง เนื่องจากไม่มี EDR ที่เหมือนกัน ซึ่งหมายความว่าเราใช้ Alert Pathways ที่แตกต่างกันกับชุดย่อยของการแจ้งเตือนและเหตุการณ์ต่างๆ ในผลิตภัณฑ์ EDR ต่างๆ ตัวอย่างเช่น EDR 1 อาจมี 10% Passthrough, 50% Deduplication และ 40% Machine Learning Event-Based ในขณะที่ EDR 2 อัตราส่วนเหล่านั้นอาจเป็น 0%, 80% และ 20% ตามลำดับ

สำหรับบริษัทที่ไม่ได้สร้าง EDR ภายในองค์กร เราพบว่าตัวเองอยู่ในจุดสิ้นสุดของการวิจัยด้านความปลอดภัยบนจุดสิ้นสุด สิ่งนี้น่าตื่นเต้นภายในสำหรับพรมแดน แต่ที่สำคัญที่สุดคือความหมายสำหรับลูกค้าของเรา มีงานอีกมากที่ต้องทำ และหากคุณสนใจที่จะเข้าร่วมทีมรักษาความปลอดภัยหรือทีมวิศวกรรมที่มีความสามารถของเรา โปรดดู เปิดงาน.