Pagbuo ng Tamang Pundasyon para sa Kinabukasan SOC

By /

EDR - Ang pagtuklas ng endpoint at tugon, Mga Alerto sa EDR, NDR, SIEM, SIEM teknolohiya, SOC

Ang pagtuklas at tugon sa network

Bakit SIEM + NDR + Anumang EDR ang Pinakamatibay na Landas Tungo sa Isang Human-Augmented Autonomous SOC

Ang bawat pinuno ng seguridad ay nahaharap sa parehong tanong: ano ang dapat na nasa core ng isang modernong platform ng SecOps? CrowdStrike, SentinelOne, at iba pa ay nagtatalo para sa isang endpoint-unang diskarte: magsimula sa EDR, pagkatapos ay i-bolt SIEM at anumang NDR. Sa Stellar Cyber, naniniwala kami na ang mas matibay na pundasyon ay nagmumula sa SIEM + NDR, kasama ang anumang EDR.

Ang parehong mga diskarte ay sinasabing magkaisa. Parehong nangangako ng visibility sa buong kill chain. Ngunit ang tunay na pagkakaiba ay nasa kung saan mo iniangkla ang iyong arkitektura—at mahalaga ang pagpipiliang iyon kung seryoso ka sa pagbuo tungo sa a pinalaki ng tao nagsasarili SOC.

Bakit mukhang kaakit-akit ang EDR-first—ngunit may mga limitasyon

Ang EDR ay nakakuha ng traksyon dahil ang mga endpoint ay nasa lahat ng dako: mga laptop, server, cloud workload, at ngayon ay IoT at OT device. Gusto ng mga vendor CrowdStrike at ang SentinelOne ay bumuo ng mga makapangyarihang ecosystem sa paligid ng endpoint telemetry, at para sa maraming organisasyon, ito ang pinakamabilis na paraan upang mahuli ang mga advanced na banta.

Ang endpoint view, gayunpaman, ay likas limitado.
  • Ang mga endpoint ay hindi nagpapakita ng buong lateral na paggalaw sa buong network.
  • Nami-miss nila ang konteksto ng maling paggamit ng pagkakakilanlan, mga log ng application, at aktibidad sa cloud.
  • At dahil ang karamihan sa mga produkto ng EDR ay pagmamay-ari, mai-lock ka sa isang ahente ng vendor, mga format ng data, at analytics.

Iyon ang dahilan kung bakit sinusubukan ng mga EDR-first platform na magdagdag SIEM or NDR. Ngunit tinatrato pa rin ng arkitektura Si EDR bilang pangunahing pinagmumulan ng katotohanan—at diyan pumapasok ang mga blind spot.

Bakit SIEM + NDR + Mas mainam na pundasyon ang anumang EDR

Kung ang iyong layunin ay kahusayan sa pagpapatakbo at isang landas patungo sa awtonomiya, kailangan mo tingnan ang buong larawan mula sa simula. Kaya naman binibigyang-diin ng Stellar Cyber SIEM + NDR bilang pangunahing, na may kakayahang makain anumang Si EDR.

Narito kung bakit mas malakas ang diskarteng iyon:

  1. Sinasabi ng mga log ang kuwento ng layunin. A SIEM foundation ay nangangahulugan na magsisimula ka sa pinaka-flexible, malawak na data source—mga log mula sa mga application, cloud, identity system, at imprastraktura. Kinukuha ng mga log ang konteksto at layunin: mga nabigong pag-log in, mga pagtaas ng pribilehiyo, hindi pangkaraniwang mga tawag sa API. Ang mga senyas na ito ay mahalaga upang makita ang mga pag-atake bago sila sumabog.
    2.  
  2. Ang trapiko sa network ay nagpapakita ng totoong katotohanan. Maaaring tanggalin ng mga umaatake ang mga log o i-bypass ang mga endpoint, ngunit hindi nila maiiwasan ang network. NDR nagbibigay ng visibility sa lateral movement, command-and-control, at data exfiltration. Kung walang NDR, lumilipad ka nang bulag sa gitnang yugto ng kill chain.
    3.  
  3. Anumang EDR ang kumukumpleto sa larawan. Sa pamamagitan ng pagsaksak sa alinmang EDR na ginagamit mo na—CrowdStrike, SentinelOne, Microsoft Defender, o iba pa—nakukuha mo pa rin ang detalyadong endpoint telemetry. Ngunit hindi ka pinipilit na mag-lock-in ng vendor. Nagkakaroon ka ng kalayaang gumamit ng mga bagong tool sa EDR habang umuunlad ang mga pangangailangan ng negosyo, habang ang iyong core Platform ng SecOps nananatiling matatag.
Ang resulta: logs (intent) + packets (behaviour) + endpoints (activity). Ito tatlong-dimensional na view tinitiyak na hindi ka over-rotate patungo sa isang data source.

Ang awtonomiya na pinalaki ng tao ay nagsisimula sa balanse

Maraming pinag-uusapan ang industriya tungkol sa nagsasarili SOC—kung saan pinangangasiwaan ng AI ang mga paulit-ulit na gawain at ang mga tao ay tumutuon sa mga desisyong may mataas na halaga. Ngunit gumagana lamang ang awtonomiya kung ang AI ay may a balanseng pundasyon ng data. Data lang ng endpoint ang pakainin nito, at ang iyong AI ay lililing patungo sa mga pattern na nakasentro sa endpoint. I-feed ito sa mga log at packet bilang core, at nakikita ng AI ang mas malawak na pattern na sumasaklaw sa mga pagkakakilanlan, application, at lateral na trapiko.

Ang balanseng ito ang nagbibigay-daan sa pinalaki ng tao SOC:

  • AI nag-uugnay sa mga mapagkukunan, pinipigilan ang ingay, at pinalalaki ang mga totoong insidente.
  • Tao ilapat ang paghatol, patunayan ang mga kritikal na signal, at magpasya kung paano tumugon.
Kapag ang iyong pangunahing plataporma ay SIEM + NDR + Anumang EDR, itinatakda mo ang AI para maging mas matalino, mas kumpleto, at hindi gaanong may kinikilingan—para mapagkakatiwalaan ito ng mga taong analyst.

Kontrol sa gastos at katotohanan sa pagpapatakbo

Isa pang praktikal na bentahe: gastos at flexibility.

Kung iangkla mo ang iyong SOC sa isang modelong EDR-first, nakatali ka sa paglilisensya at ecosystem ng vendor na iyon. Gusto mo bang baguhin ang mga EDR? Nanganganib kang masira ang core ng iyong SecOps stack. Kaya naman maraming vendor ang kumukuha sa halip na bumuo ng NDR o SIEM—sinusubukan nilang ikabit ang mga nawawalang piraso nang hindi isinusuko ang kontrol sa endpoint anchor.

Sa pamamagitan ng kaibahan, SIEM + Ang NDR sa kaibuturan ay agnostic sa endpoint vendorMaaari mong patakbuhin ang CrowdStrike ngayon, lumipat sa Microsoft bukas, o suportahan ang maraming EDR sa iba't ibang subsidiary. Ang iyong SOC Hindi nababawasan ang mga daloy ng trabaho, dashboard, at ugnayan ng AI. At dahil mas episyente ang pag-scale ng network at pangongolekta ng log kaysa sa pag-deploy ng mga bagong endpoint agent kahit saan, madalas kang nakakatipid sa parehong licensing at operational overhead.

Isang kwento mula sa bukid

Isang SecOps manager ang nagbahagi kamakailan ng kanilang karanasan sa amin. Nagsimula sila sa isang EDR-centric platform dahil ito ay tila pinakamadali. Sa paglipas ng panahon, napagtanto nilang ang kanilang mga analyst ay naghahabol pa rin ng mga multo—mga alerto na walang validation ng network, hindi kumpletong timeline ng insidente, at hindi nakuhang mga pag-atake ng kredensyal.

Nang lumipat sila sa Stellar Cyber's SIEM + NDR foundation, habang pinapanatili ang kanilang kasalukuyang EDR, agad na naging matagumpay ang pagbabago. Mas mayaman ang mga alerto dahil nakapalibot sa bawat endpoint event ang ebidensya ng network at konteksto ng log. Nagtiwala ang mga analyst sa mga insidenteng kanilang pinagtrabahuhan, bumaba ng mahigit kalahati ang mga oras ng triage, at sa wakas ay nakita ng mga lider ang kahusayan sa gastos sila ay ipinangako.

Iyan ang uri ng operational shift na maaari mo lamang makamit kapag ang core ay binuo upang magkaisa nang malawakan, hindi makitid.

Ang path na pasulong

Ang debate sa pagitan ng EDR + SIEM + anumang NDR at SIEM + NDR + anumang EDR ay hindi lamang semantika. Ito ay tungkol sa kung saan ka magsisimula, kung saan ka naka-angkla, at kung gaano ka-flexible ang iyong kinabukasan.

Pinapanatili ka ng endpoint-first na diskarte na nakatali sa iisang lens. Binubuksan ng isang log-and-network-first na diskarte ang aperture at hinahayaan kang magdagdag ng anumang endpoint lens na pipiliin mo. Iyon ang pundasyon para sa awtonomikong pinalaki ng tao SOC—kung saan sinusukat ng AI ang iyong mga kakayahan sa SecOps, at pinapanatili ng mga tao ang kontrol sa paghatol at diskarte.

Sa huli, ang mga pinakanakakatakot na banta ay hindi lamang nabubuhay sa mga endpoint. Kumakalat ang mga ito sa mga log, packet, at pagkakakilanlan. Buuin ang iyong SOC sa katotohanang iyan, at hindi mo lang mas mabilis na mapipigilan ang mga banta—makakarating ka roon nang may kontrol sa gastos, kakayahang umangkop, at awtonomiya na hinihingi ng iyong negosyo.

Kaugnay na Post

Mag-scroll sa Tuktok
Mag-sign Up Para sa Mga newsletter