ทำไม SIEM + NDR + EDR ใดๆ ก็ตาม คือเส้นทางที่แข็งแกร่งที่สุดสู่ระบบขับเคลื่อนอัตโนมัติที่เสริมด้วยมนุษย์ SOC
ผู้นำด้านความปลอดภัยทุกคนต้องเผชิญกับคำถามเดียวกัน: อะไรคือแกนหลักของแพลตฟอร์ม SecOps สมัยใหม่? CrowdStrike, SentinelOne และบริษัทอื่นๆ ต่างถกเถียงกัน แนวทางที่เน้นจุดสิ้นสุดก่อนเริ่มต้นด้วย EDR จากนั้นค่อยติดตั้งอุปกรณ์เสริม SIEM และ NDR ใดๆ ก็ตาม ที่ Stellar Cyber เราเชื่อว่ารากฐานที่แข็งแกร่งกว่านั้นมาจากการ... SIEM + NDR บวก EDR ใดๆ.
ทั้งสองแนวทางอ้างว่าเป็นหนึ่งเดียวกัน ทั้งสองสัญญาว่าจะมองเห็นได้ทั่วทั้ง Kill Chain แต่ความแตกต่างที่แท้จริงอยู่ที่ ที่คุณยึดสถาปัตยกรรมของคุณไว้—และทางเลือกนั้นมีความสำคัญหากคุณจริงจังกับการสร้างไปสู่... เสริมด้วยมนุษย์ อิสระ SOC.
เหตุใด EDR-first จึงดูน่าสนใจ—แต่ก็มีข้อจำกัด
EDR ได้รับความนิยมมากขึ้นเนื่องจากจุดสิ้นสุดมีอยู่ทุกที่ ไม่ว่าจะเป็นแล็ปท็อป เซิร์ฟเวอร์ เวิร์กโหลดบนคลาวด์ และตอนนี้ก็มีอุปกรณ์ IoT และ OT ด้วย ผู้จำหน่ายเช่น CrowdStrike และ SentinelOne ได้สร้างระบบนิเวศอันทรงพลังรอบ ๆ การวัดระยะไกลของจุดสิ้นสุด และสำหรับองค์กรหลายแห่ง นี่เป็นวิธีที่เร็วที่สุดในการจับภัยคุกคามขั้นสูง
- จุดสิ้นสุดไม่แสดงการเคลื่อนที่ด้านข้างเต็มรูปแบบทั่วทั้งเครือข่าย
- พวกเขาพลาดบริบทของการใช้ข้อมูลส่วนบุคคลในทางที่ผิด บันทึกแอปพลิเคชัน และกิจกรรมบนคลาวด์
- และเนื่องจากผลิตภัณฑ์ EDR ส่วนใหญ่เป็นกรรมสิทธิ์ คุณจึงถูกผูกติดกับตัวแทน รูปแบบข้อมูล และการวิเคราะห์ของผู้จำหน่ายเพียงรายเดียว
ทำไม SIEM + NDR + EDR ใดๆ ก็ตามถือเป็นพื้นฐานที่ดีกว่า
หากเป้าหมายของคุณคือประสิทธิภาพในการดำเนินงานและเส้นทางสู่ความเป็นอิสระ คุณต้อง ดูภาพทั้งหมดตั้งแต่เริ่มต้น. นั่นเป็นเหตุผลที่ Stellar Cyber ให้ความสำคัญ SIEM + NDR เป็นแกนหลัก, ด้วยความสามารถในการกิน ใด EDR.
นี่คือเหตุผลว่าทำไมแนวทางดังกล่าวจึงแข็งแกร่งกว่า:
- บันทึกบอกเล่าเรื่องราวของความตั้งใจ A SIEM รากฐานหมายถึงคุณเริ่มต้นด้วยแหล่งข้อมูลที่ยืดหยุ่นและครอบคลุมที่สุด ได้แก่ บันทึกจากแอปพลิเคชัน คลาวด์ ระบบระบุตัวตน และโครงสร้างพื้นฐาน บันทึกจะบันทึกบริบทและเจตนา เช่น การล็อกอินที่ล้มเหลว การยกระดับสิทธิ์ และการเรียกใช้ API ที่ผิดปกติ สัญญาณเหล่านี้มีความสำคัญอย่างยิ่งต่อการตรวจจับการโจมตีก่อนที่จะเกิดการระเบิด
- ปริมาณการรับส่งข้อมูลในเครือข่ายเผยให้เห็นความจริง ผู้โจมตีสามารถลบบันทึกหรือข้ามจุดสิ้นสุดได้ แต่ไม่สามารถหลีกเลี่ยงเครือข่ายได้ NDR ให้การมองเห็นการเคลื่อนไหวด้านข้าง การสั่งการและควบคุม และการขโมยข้อมูล หากไม่มี NDR คุณจะบินแบบตาบอดในช่วงกลางของห่วงโซ่การฆ่า
- EDR ใดๆ ก็ทำให้ภาพสมบูรณ์ โดยการเสียบ EDR ใดๆ ที่คุณใช้อยู่แล้ว—CrowdStrike, SentinelOne, Microsoft Defender หรืออื่นๆ คุณยังคงสามารถบันทึกข้อมูลระยะไกลของจุดสิ้นสุดได้อย่างละเอียด แต่คุณจะไม่ถูกบังคับให้ผูกติดกับผู้ขาย คุณจะได้รับอิสระในการนำเครื่องมือ EDR ใหม่ๆ มาใช้ตามความต้องการทางธุรกิจที่เปลี่ยนแปลงไป ในขณะที่แกนหลักของคุณ แพลตฟอร์ม SecOps ยังคงมีเสถียรภาพ
การเพิ่มอำนาจการตัดสินใจของมนุษย์เริ่มต้นด้วยความสมดุล
อุตสาหกรรมพูดถึงเรื่องนี้มาก อิสระ SOC—ซึ่ง AI จัดการงานซ้ำๆ ในขณะที่มนุษย์มุ่งเน้นไปที่การตัดสินใจที่มีมูลค่าสูง แต่ความเป็นอิสระจะทำงานได้ก็ต่อเมื่อ AI มี รากฐานข้อมูลที่สมดุลป้อนข้อมูลปลายทางเพียงอย่างเดียว AI ของคุณจะหันไปใช้รูปแบบที่เน้นปลายทางเป็นหลัก ป้อนข้อมูลบันทึกและแพ็กเก็ตเป็นแกนหลัก และ AI จะมองเห็นรูปแบบที่กว้างขึ้น ซึ่งครอบคลุมถึงข้อมูลประจำตัว แอปพลิเคชัน และทราฟฟิกด้านข้าง
ความสมดุลนี้คือสิ่งที่ช่วยให้ เสริมด้วยมนุษย์ SOC:
- AI มีความสัมพันธ์กันข้ามแหล่ง ลดสัญญาณรบกวน และยกระดับเหตุการณ์ที่เกิดขึ้นจริง
- มนุษย์ ใช้การตัดสิน ตรวจสอบสัญญาณที่สำคัญ และตัดสินใจว่าจะตอบสนองอย่างไร
การควบคุมต้นทุนและความเป็นจริงในการดำเนินงาน
ข้อดีเชิงปฏิบัติอีกประการหนึ่ง: ต้นทุนและความยืดหยุ่น.
ถ้าคุณยึดตรึงของคุณ SOC ในโมเดลที่เน้น EDR เป็นหลัก คุณจะถูกผูกมัดกับใบอนุญาตและระบบนิเวศของผู้จำหน่ายรายนั้น หากต้องการเปลี่ยน EDR คุณอาจเสี่ยงต่อการทำลายแกนหลักของระบบ SecOps ของคุณ นั่นเป็นเหตุผลว่าทำไมผู้จำหน่ายจำนวนมากจึงเลือกซื้อ NDR หรือระบบรักษาความปลอดภัยอื่นๆ แทนที่จะสร้างเอง SIEM—พวกเขากำลังพยายามต่อชิ้นส่วนที่ขาดหายไปโดยไม่สูญเสียการควบคุมจุดยึดปลายทาง
ตรงกันข้าม, SIEM + NDR ในส่วนหลักคือ ไม่ยึดติดกับผู้จำหน่ายปลายทางคุณสามารถใช้งาน CrowdStrike ในวันนี้ เปลี่ยนไปใช้ Microsoft ในวันพรุ่งนี้ หรือรองรับ EDR หลายตัวในบริษัทสาขาต่างๆ ได้ SOC เวิร์กโฟลว์ แดชบอร์ด และการเชื่อมโยงข้อมูล AI จะไม่เสียหาย และเนื่องจากการขยายขนาดเครือข่ายและการรวบรวมบันทึกข้อมูลมีประสิทธิภาพมากกว่าการติดตั้งเอเจนต์ปลายทางใหม่ทุกที่ คุณจึงมักประหยัดทั้งค่าลิขสิทธิ์และค่าใช้จ่ายในการดำเนินงาน
เรื่องเล่าจากสนาม
ผู้จัดการ SecOps ท่านหนึ่งได้แบ่งปันประสบการณ์กับเราเมื่อเร็วๆ นี้ พวกเขาเริ่มต้นด้วยแพลตฟอร์มที่เน้น EDR เพราะดูเหมือนจะง่ายที่สุด เมื่อเวลาผ่านไป พวกเขาตระหนักว่านักวิเคราะห์ยังคงไล่ตามข้อมูลปลอมอยู่ เช่น การแจ้งเตือนที่ไม่มีการตรวจสอบความถูกต้องของเครือข่าย ไทม์ไลน์เหตุการณ์ที่ไม่สมบูรณ์ และการโจมตีข้อมูลประจำตัวที่พลาด
เมื่อพวกเขาย้ายไปใช้ Stellar Cyber SIEM + ด้วยการใช้ NDR เป็นพื้นฐาน และยังคงใช้ EDR เดิม การเปลี่ยนแปลงจึงเกิดขึ้นทันที การแจ้งเตือนมีความสมบูรณ์ยิ่งขึ้น เนื่องจากหลักฐานเครือข่ายและบริบทของบันทึกข้อมูลครอบคลุมทุกเหตุการณ์ที่เกิดขึ้นบนอุปกรณ์ปลายทาง นักวิเคราะห์เชื่อมั่นในเหตุการณ์ที่พวกเขาจัดการ เวลาในการแก้ไขปัญหาลดลงมากกว่าครึ่ง และในที่สุดผู้บริหารก็เห็นถึงความสำคัญของมัน ประสิทธิภาพด้านต้นทุน พวกเขาได้รับสัญญาไว้แล้ว
นั่นคือการเปลี่ยนแปลงการดำเนินงานประเภทที่คุณจะทำได้ก็ต่อเมื่อมีการสร้างแกนหลักให้รวมกันเป็นหนึ่งอย่างกว้างๆ ไม่ใช่อย่างแคบๆ
เส้นทางข้างหน้า
การถกเถียงกันระหว่าง อีดีอาร์ + SIEM + NDR ใดๆ และ SIEM + NDR + EDR ใดๆ ไม่ใช่แค่เรื่องความหมาย มันเกี่ยวกับ คุณเริ่มต้นที่ไหน คุณยึดอะไรไว้ และอนาคตของคุณจะยืดหยุ่นแค่ไหน.
กลยุทธ์ Endpoint-first ช่วยให้คุณผูกติดกับเลนส์เพียงตัวเดียว กลยุทธ์ Log-and-network-first จะเปิดรูรับแสงและให้คุณเพิ่มเลนส์ Endpoint ใดๆ ก็ได้ที่คุณเลือก นั่นคือรากฐานสำหรับ ระบบอัตโนมัติเสริมด้วยมนุษย์ SOC—ที่ AI ปรับขนาดความสามารถของ SecOps ของคุณ และมนุษย์จะควบคุมการตัดสินใจและกลยุทธ์
ท้ายที่สุดแล้ว ภัยคุกคามที่น่ากลัวที่สุดไม่ได้อยู่แค่ที่อุปกรณ์ปลายทางเท่านั้น แต่ยังเกิดขึ้นในบันทึกข้อมูล แพ็กเก็ต และข้อมูลระบุตัวตนด้วย สร้างระบบของคุณ SOC ยึดมั่นในความจริงข้อนี้ แล้วคุณจะไม่เพียงแต่หยุดยั้งภัยคุกคามได้เร็วขึ้นเท่านั้น แต่คุณยังจะบรรลุเป้าหมายนั้นได้ด้วยการควบคุมต้นทุน ความยืดหยุ่น และความเป็นอิสระที่ธุรกิจของคุณต้องการ
