ภายใน Data Pipeline ของ Stellar Cyber: เครื่องมือที่ซ่อนอยู่เบื้องหลังระบบรักษาความปลอดภัยที่ชาญฉลาด

By /

ความปลอดภัยที่ขับเคลื่อนด้วย AI, cybersecurity, เทคโนโลยีสารสนเทศ, MSSP, การรักษาความปลอดภัยเครือข่าย, Open XDR, Open XDR แพลตฟอร์ม

บทสรุปผู้บริหาร

ทันสมัย SOCระบบรักษาความปลอดภัยต่างๆ กำลังเผชิญกับปริมาณและความซับซ้อนของข้อมูลจำนวนมหาศาล ความสามารถในการกรอง ปรับมาตรฐาน เพิ่มคุณค่า และส่งต่อข้อมูลด้านความปลอดภัยในระดับใหญ่โดยไม่สูญเสียความถูกต้องแม่นยำนั้น ส่งผลโดยตรงต่อความแม่นยำในการตรวจจับ ประสิทธิภาพของนักวิเคราะห์ และสถานะการปฏิบัติตามกฎระเบียบ ด้วยความเข้าใจอย่างถ่องแท้ถึงความสำคัญของความท้าทายด้านข้อมูลและความต้องการความสามารถดังกล่าว ระบบประมวลผลข้อมูลของ Stellar Cyber ​​จึงไม่ใช่ส่วนเสริม แต่เป็นความสามารถหลักของเรา แพลตฟอร์ม SecOps ที่ขับเคลื่อนด้วย AI ตั้งแต่เริ่มต้น เอกสารฉบับนี้จะสรุปพื้นฐานทางเทคนิคของกระบวนการทำงาน (pipeline) ของ Stellar Cyber ​​และวิธีที่สถาปัตยกรรมอันเป็นเอกลักษณ์ช่วยให้ทีมงานด้านความปลอดภัยสามารถรวมแหล่งข้อมูล ลดสัญญาณรบกวน และเร่งการตอบสนองต่อเหตุการณ์ต่างๆ

บทนำ: นอกเหนือจาก Data Pipelines

ในขณะที่บางผลิตภัณฑ์มุ่งเน้นเฉพาะการรวบรวมและเคลื่อนย้ายข้อมูล Stellar Cyber ​​ได้ผสานรวมแพลตฟอร์มปฏิบัติการด้านความปลอดภัยแบบครบวงจรเข้ากับกระบวนการจัดการข้อมูลเชิงวิศวกรรมที่ล้ำลึกเป็นแกนหลัก กระบวนการนี้ไม่เพียงแต่รับและส่งข้อมูลเท่านั้น แต่ยังแปลงข้อมูลผ่านกระบวนการหลายขั้นตอนอีกด้วย กรอง ทำให้เป็นมาตรฐาน เสริมแต่ง เชื่อมโยง และกำหนดเส้นทางไปยังที่เก็บข้อมูลที่เหมาะสมสำหรับเวิร์กโฟลว์การตรวจจับและการตอบสนอง และไปยังที่เก็บข้อมูลสำรองเช่น S3ซึ่งจะทำให้สามารถมองเห็น ตรวจจับ และดำเนินการได้อย่างแท้จริง

หลักการสำคัญของ Stellar Cyber ​​Data Pipeline

เพื่อให้สามารถมองเห็นภาพรวมการโจมตีได้อย่างครอบคลุมทั่วทั้งองค์กร โซลูชันของ Stellar Cyber ​​นำเสนอวิธีการรวบรวมข้อมูลที่หลากหลาย สามารถรวบรวมบันทึกและส่งข้อมูลทางไกลผ่านเซ็นเซอร์แบบโมดูลาร์แบบกระจาย ผสานรวมกับแอปพลิเคชันจำนวนมากผ่าน API ดั้งเดิม และปรับใช้เซิร์ฟเวอร์ เซ็นเซอร์ เพื่อจับข้อมูลจากเซิร์ฟเวอร์ทั้ง Linux และ Windows

1. การกรองการรับส่งข้อมูลที่ขอบ

ต่างจากเครื่องมือที่กรองเฉพาะที่จุดรับข้อมูลในส่วนกลาง เซ็นเซอร์ของ Stellar Cyber ​​จะใช้ตัวกรองการรับส่งข้อมูลและแอปพลิเคชันก่อนที่ข้อมูลจะออกจากต้นทาง เหตุการณ์ที่เข้าถึงไปป์ไลน์จะถูกประมวลผลทันทีโดย Forwarder ขั้นสูง เซ็นเซอร์เหล่านี้ใช้กฎการกรองแบบละเอียดในระดับขนาดใหญ่ จึงเก็บรักษาเฉพาะข้อมูลที่จำเป็นสำหรับการปฏิบัติตามข้อกำหนด การตรวจจับ หรือการวิเคราะห์เท่านั้น การกรองก่อนการรับข้อมูลนี้:
  • ลบเหตุการณ์ที่ไม่เกี่ยวข้องออกก่อนกำหนด (ลดเสียงรบกวนบริเวณขอบ)
  • ลดความต้องการแบนด์วิดท์และการจัดเก็บข้อมูล โดยการทิ้งบันทึกที่ไม่สำคัญล่วงหน้า
  • ให้ความยืดหยุ่นโดยรองรับการกรองตามนโยบาย ขึ้นอยู่กับประเภทของแอปพลิเคชัน พอร์ต โปรโตคอล หรือกฎเกณฑ์ที่กำหนดเอง

2. การทำให้เป็นมาตรฐานในหลากหลายแหล่งที่มา

เอ็นจิ้นการปรับมาตรฐาน Interflow ช่วยปรับมาตรฐานรูปแบบและรูปแบบบันทึกจากแหล่งข้อมูลที่แตกต่างกันมากมาย ซึ่งช่วยให้:

  • การตรวจจับอัตโนมัติผ่านการเรียนรู้ของเครื่องจักรหรือกฎเกณฑ์
  • การเชื่อมโยงอัตโนมัติของการแจ้งเตือนแต่ละรายการเป็นกรณีต่างๆ ผ่านสิ่งประดิษฐ์ที่ทำให้เป็นมาตรฐาน
  • การเสริมประสิทธิภาพที่สม่ำเสมอเพื่อการวางบริบท
  • การวิเคราะห์ดาวน์สตรีมที่รวดเร็วโดยไม่ต้องแยกวิเคราะห์ซ้ำ
  • แดชบอร์ด รายงาน และการสืบสวนที่แม่นยำและเข้าใจง่าย

3. การเพิ่มประสิทธิภาพบริบทแบบเรียลไทม์ขณะรับข้อมูล

เมื่อข้อมูลไหลเข้าสู่ Stellar Cyber Open XDR แพลตฟอร์มนี้ได้รับการเสริมประสิทธิภาพแบบอินไลน์แบบเรียลไทม์ ไม่ใช่หลังการประมวลผล โดยส่งมอบข้อมูลระยะไกลแบบบริบทสูงเพื่อขับเคลื่อนการตรวจจับและการตอบสนองที่รวดเร็วและแม่นยำ

มิติการเสริมสมรรถนะที่สำคัญ ได้แก่:
  • การค้นหา GeoIP และ ASN: เพิ่มข้อมูลประเทศ เมือง และระบบอัตโนมัติลงในทุกเหตุการณ์ที่มี IP ทันที
  • ข้อมูลภัยคุกคามแบบเรียลไทม์: เชื่อมโยงกับฟีดข้อมูลภัยคุกคามหลายประเภท (เชิงพาณิชย์ โอเพ่นซอร์ส และกำหนดโดยลูกค้า) โดยใช้การให้คะแนนความเสี่ยงแบบเรียลไทม์
  • การแก้ไขปัญหาผู้ใช้และนิติบุคคล: บันทึกแผนที่และการรับส่งข้อมูลไปยังข้อมูลประจำตัวของมนุษย์และเครื่องจักรผ่าน Active Directory, Okta, ระบบ IAM และรายการสินค้าคงคลังสินทรัพย์
  • การระบุแอปพลิเคชัน: กลไกการตรวจสอบแพ็กเก็ตเชิงลึก (DPI) และการพิมพ์ลายนิ้วมือแอปพลิเคชันช่วยเพิ่มความชัดเจนของเหตุการณ์ให้เหนือกว่าฮิวริสติกตามพอร์ต
  • การแท็กที่กำหนดเองและการฉีดบริบท: ผู้ดูแลระบบสามารถแทรกบริบทเฉพาะธุรกิจ (เช่น ความสำคัญของสินทรัพย์ ฟังก์ชัน โซนการปฏิบัติตามข้อกำหนด) ลงในสตรีมข้อมูลได้
การเสริมประสิทธิภาพแบบอินไลน์ที่ล้ำลึกนี้รับประกันว่าการแจ้งเตือนและการสืบสวนทุกครั้งจะเริ่มต้นด้วยบริบทที่ครบถ้วนและสามารถดำเนินการได้ เช่น ที่ไหน เมื่อใด ใคร อะไร ซึ่งจะช่วยลดเวลาในการคัดกรอง เพิ่มความแม่นยำในการตรวจจับ และทำให้วิเคราะห์สาเหตุหลักได้รวดเร็วยิ่งขึ้น

4. การปิดบังและการแก้ไข PII/PHI

ไพพ์ไลน์นี้ประกอบด้วยตัวกรองแบบ regex และฟีเจอร์มาสก์เพื่อปกปิดข้อมูลสำคัญโดยอัตโนมัติ เช่น ข้อมูลที่สามารถระบุตัวตนได้หรือข้อมูลสุขภาพที่ได้รับการคุ้มครอง ซึ่งช่วยให้องค์กรต่างๆ ปฏิบัติตามข้อกำหนดด้านกฎระเบียบได้ ขณะเดียวกันก็ยังใช้ประโยชน์จากข้อมูลเพื่อการวิเคราะห์ความปลอดภัยได้

5. การกำหนดเส้นทางและการมัลติเพล็กซ์

ด้วยโปรไฟล์การกำหนดเส้นทาง เหตุการณ์ที่ได้รับการปรับปรุงสามารถส่งไปยังปลายทางหลายแห่งพร้อมกันได้ (SIEM(เช่น ดาต้าเลคที่เข้ากันได้กับ S3 หรือ Snowflake, ระบบจัดการตั๋ว หรือคลัสเตอร์วิเคราะห์ข้อมูล) ซึ่งจะช่วยให้ทีมสามารถ:
  • หลีกเลี่ยงการล็อคอินของผู้ขาย
  • ตอบสนองความต้องการด้านการจัดเก็บข้อมูล การปฏิบัติตามข้อกำหนด หรือการวิเคราะห์ที่หลากหลาย
  • ป้อนทีมหรือเครื่องมือที่แยกจากกันโดยไม่ต้องทำซ้ำความพยายามในการรับข้อมูล

6. การตรวจจับความผิดปกติแบบเรียลไทม์และการลบข้อมูลซ้ำซ้อน

การตรวจจับความผิดปกติแบบอินไลน์และโมดูล ML หลังการประมวลผลจะระบุค่าผิดปกติเมื่อข้อมูลมาถึง การกำจัดข้อมูลซ้ำซ้อนและการรวมข้อมูลจะช่วยลดปริมาณข้อมูลโดยไม่สูญเสียความเที่ยงตรง เหมาะสำหรับสภาพแวดล้อมที่มี EPS สูงหลายเทราไบต์ต่อวัน

7. สถาปัตยกรรม MSSP แบบผู้เช่าหลายราย

ตั้งแต่เริ่มก่อตั้ง Stellar Cyber ​​ได้สร้างความสามารถแบบหลายผู้เช่าไว้ในแพลตฟอร์มของตน MSSP สามารถจัดการลูกค้าหลายรายอย่างปลอดภัยด้วยการแยกข้อมูลอย่างสมบูรณ์ ตัวเลือกการจัดเก็บข้อมูลที่หลากหลาย ระยะเวลาการเก็บรักษา นโยบาย และการรายงานที่แตกต่างกัน ฯลฯ ซึ่งทำให้ MSSP สามารถควบคุมและนำเสนอตัวเลือกที่หลากหลายเพื่อตอบสนองความต้องการของลูกค้าได้

8. การรวมแพลตฟอร์มดั้งเดิม

ไปป์ไลน์นี้เป็นส่วนหนึ่งของสถาปัตยกรรมดั้งเดิมของ Stellar Cyber ​​ที่ไม่มีส่วนเสริมหรือการอ้างอิงจากบุคคลที่สาม ซึ่งช่วยให้มั่นใจได้ว่า:
  • เวลาแฝงที่ต่ำกว่า
  • อัปเดตและปรับขนาดได้รวดเร็วยิ่งขึ้น
  • ความปลอดภัยและการปฏิบัติตามข้อกำหนดที่สอดคล้องกัน
  • วงจรข้อเสนอแนะทันทีระหว่างการประมวลผลหลังการประมวลผลและกลไกข้อมูล

9. ความยืดหยุ่นในการย้ายข้อมูล

Stellar Cyber ​​รองรับการย้ายระบบจากระบบเดิม SIEMเชื่อมต่อกับดาต้าเลคหรือแพลตฟอร์มวิเคราะห์ข้อมูลใหม่โดยใช้ตัวเชื่อมต่อและโปรไฟล์การกำหนดเส้นทาง รักษาความต่อเนื่องและหลีกเลี่ยงโครงการรื้อถอนและติดตั้งใหม่ทั้งหมดที่มีค่าใช้จ่ายสูง

ความสามารถในการปรับขนาดและความครบถ้วนสมบูรณ์

สถาปัตยกรรมไปป์ไลน์ของ Stellar Cyber ​​ได้รับการพิสูจน์แล้วในการใช้งานทั่วโลกหลายเทราไบต์ต่อวัน ลูกค้าสามารถปรับขนาดให้รองรับอุปกรณ์ปลายทางหลายหมื่นเครื่องและแหล่งข้อมูลหลายสิบแหล่งได้อย่างมีประสิทธิภาพโดยไม่มีปัญหาคอขวด ความพร้อมของแพลตฟอร์มช่วยให้ทีมรักษาความปลอดภัยสามารถปรับใช้ได้อย่างรวดเร็ว ผสานรวมระบบได้อย่างกว้างขวาง และไว้วางใจไปป์ไลน์ในการใช้งานจริง

เหตุใด Data Pipeline ของ Stellar Cyber ​​จึงมีความสำคัญ

เนื่องจากระบบถูกฝังอยู่ในแพลตฟอร์ม SecOps ที่ขับเคลื่อนด้วย AI นักวิเคราะห์จึงไม่เพียงได้รับข้อมูลที่สะอาดเท่านั้น แต่ยังได้รับการตรวจจับ การตรวจสอบ และการตอบสนองอัตโนมัติ ซึ่งทั้งหมดนี้ขับเคลื่อนจากสภาพแวดล้อมแบบรวมศูนย์เดียว ซึ่งหมายความว่า:
  • MTTR ที่เร็วขึ้น
  • ประสิทธิภาพของนักวิเคราะห์ที่สูงขึ้น
  • ลดต้นทุนโครงสร้างพื้นฐาน
  • การมองเห็นแบบเต็มรูปแบบตั้งแต่การรับประทานจนถึงการแก้ไข

สรุป

ระบบประมวลผลข้อมูลของ Stellar Cyber ​​ไม่ได้เป็นเพียงแค่กลไกการขนส่งข้อมูลเท่านั้น แต่เป็นหัวใจหลักของแพลตฟอร์มการปฏิบัติการด้านความปลอดภัยแบบครบวงจรที่ขับเคลื่อนด้วย AI ด้วยการกรองข้อมูลที่ต้นทาง การปรับมาตรฐานข้อมูลจากแหล่งข้อมูลที่หลากหลาย การเพิ่มบริบท และการกำหนดเส้นทางข้อมูลอย่างยืดหยุ่น Stellar Cyber ​​จึงช่วยเสริมศักยภาพให้แก่ระบบรักษาความปลอดภัย SOC ช่วยให้ทีมสามารถดำเนินงานได้อย่างมีประสิทธิภาพมากขึ้น ลดผลกระทบจากข้อมูลที่ไม่เกี่ยวข้อง และตอบสนองต่อภัยคุกคามได้รวดเร็วยิ่งขึ้น

กระทู้ที่เกี่ยวข้อง

เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว