Orihinal na nai-post sa
Halos bawat vendor, mula sa mga kumpanya ng email gateway hanggang sa mga developer ng mga platform ng threat intelligence, ay nagpoposisyon sa kanilang mga sarili bilang isang XDR manlalaro. Ngunit sa kasamaang palad, ang ingay sa paligid XDR nagpapahirap sa mga mamimili na makahanap ng mga solusyon na maaaring tama para sa kanila o, mas mahalaga, iwasan ang mga solusyon na hindi nakakatugon sa kanilang mga pangangailangan.
Naghahatid ang Stellar Cyber ng Open XDR solusyon na nagbibigay-daan sa mga organisasyon na gamitin ang anumang mga tool sa seguridad na gusto nila sa kanilang security stack, na nagpapakain ng mga alerto at mga log sa Stellar Cyber. Ang "Open" na diskarte ng Stellar Cyber ay nangangahulugan na ang kanilang platform ay maaaring gumana sa anumang produkto. Bilang resulta, ang isang pangkat ng seguridad ay maaaring gumawa ng mga pagbabago nang hindi iniisip kung ang Stellar Cyber Open XDR gagana pa rin ang plataporma.
Tinutugunan ng Stellar Cyber ang mga pangangailangan ng mga lean enterprise security team sa pamamagitan ng pagbibigay ng mga kakayahan na karaniwang matatagpuan sa NG-SIEM, NDR, at mga produktong SOAR sa kanilang Open XDR plataporma, na pinamamahalaan ng iisang lisensya. Ang pagsasama-samang ito ay nagbibigay-daan sa mga customer na alisin ang pagiging kumplikado ng security stack.
Mga customer ng serbisyo ng Stellar Cyber sa lahat ng pangunahing industriya, kasama ang mga customer sa buong Europe, Asia, Australia, Japan, South Korea, at Africa, na nagbibigay ng seguridad para sa mahigit 3 milyong asset. Bilang karagdagan, sinasabi ng Stellar Cyber pagkatapos ng deployment, nakikita ng mga user ang hanggang 20x na mas mabilis na mean time to respond (MTTR), isang matapang na claim.
Pagtugon sa isang Insidente mula sa Home page
Kapag nagla-log in sa Stellar Cyber, ang unang screen ay ang home screen ng analyst, na nagpapakita ng mga istatistika tulad ng mga nangungunang insidente at mga asset na pinakamapanganib. Ang isang kawili-wiling bahagi sa screen na ito ay ang tinatawag ng Stellar Cyber na Open XDR Kadena ng Pagpatay. Ang pag-click sa anumang bahagi ng kadena ng pagpatay, tulad ng "Mga Unang Pagtatangka," ay nagpapakita ng mga banta na nauugnay sa bahaging iyon ng kadena ng pag-atake.
Halimbawa, makikita ng user ang mga alertong ito gamit ang yugtong "Mga Paunang Pagsubok" na awtomatikong itinakda ng Stellar Cyber. Makakakita ang user ng higit pang impormasyon tungkol sa alerto sa pamamagitan ng pag-click sa “View” sa alinman sa mga alerto. Pagkatapos, sa pag-scroll pababa sa screen, maaaring i-click ng user ang hyperlink na "higit pang impormasyon" upang makakita ng higit pang impormasyon tungkol sa napiling alerto.
Dito mababasa ng isang user ang tungkol sa insidente, suriin ang mga detalye, at makita ang hilaw na data sa likod ng insidenteng ito at ang JSON, na maaaring kopyahin sa isang clipboard kung kinakailangan. Bilang karagdagan, sa pamamagitan ng pag-click sa button na "Mga Pagkilos", makikita ng user ang iba pang makapangyarihang feature ng platform.
Ang user ay maaaring gumawa ng mga pagkilos sa pagtugon mula sa screen na ito, gaya ng “magdagdag ng filter, mag-trigger ng email, o gumawa ng panlabas na pagkilos. Ang pag-click sa panlabas na pagkilos ay nagpapakita ng karagdagang picklist. Maaaring mag-click ang user sa Endpoint upang makita ang mga opsyon sa pagkilos mula sa naglalaman ng host hanggang sa pagsasara ng host.
Kapag nag-click sa isang aksyon, tulad ng contain host, isang configuration dialog ang nagpapakita kung saan maaaring piliin ng user ang connector na gagamitin, ang target ng aksyon, at anumang iba pang opsyon na kinakailangan upang simulan ang piniling pagkilos. Sa buod, makikita ng mga security analyst, lalo na ang mga junior, na lubhang kapaki-pakinabang ang daloy ng trabaho na ito dahil maaari nilang a) mabilis na suriin ang mga detalye ng isang insidente mula sa home screen, b) tingnan ang higit pang mga detalye sa pamamagitan ng pagpunta sa data, at c) kumuha ng isang pagkilos sa remediation mula sa screen na ito nang hindi nagsusulat ng anumang mga script o code.
Makakatulong ang enterprise sa mga bagong analyst sa pamamagitan ng pagpapagawa sa kanila sa pananaw na ito para maging pamilyar sila sa platform, pangangasiwa sa mga insidenteng mababa ang priyoridad para magawa ng ibang mga analyst ang mas kritikal na mga insidente.
Paggalugad ng mga Insidente
Sa halip na i-click ang Open XDR Patayin ang Chain, kung iki-click ng user ang “Mga Insidente,” ipapakita ang screen sa ibaba.
Kapag nag-click ang user sa carrot sa asul na bilog, binibigyang-daan ng isang listahan ng pag-filter ang isang user na mahasa ang isang partikular na uri ng insidente. Maaaring direktang pumunta ang user sa button ng mga detalye upang makita kung ano ang nasa view ng detalyeng ito.
Makikita ng user kung paano nangyari ang insidenteng ito at napalaganap sa maraming asset. Dagdag pa rito, awtomatikong makikita ng user ang mga file, proseso, user, at serbisyong nauugnay sa insidente. Kaya, halimbawa, maaaring lumipat ang user sa view ng timeline upang makakuha ng nababasang kasaysayan ng insidenteng ito.
At i-click ang maliit na "i" upang makarating sa screen ng detalye na ipinakita dati.
Sa buod, ang mga analyst na nakasanayan nang magtrabaho mula sa isang listahan ng mga alerto ay maaaring gustong simulan ang kanilang mga pagsisiyasat mula sa pahina ng mga insidente. Ang view na ito ay kapaki-pakinabang din dahil awtomatiko nitong ipinapakita ang lahat ng alerto na nauugnay sa insidenteng ito sa isang view.
Pangangaso ng Banta sa Stellar Cyber
Maaaring magsimula ang mga user ng pagbabanta sa paghahanap mula sa screen sa itaas. Ang mga istatistika sa screen ay dynamic na nagbabago sa pamamagitan ng pag-type sa isang termino, tulad ng "pag-login," sa dialog ng paghahanap. Pagkatapos, sa pag-scroll pababa sa screen, makikita ng mga user ang isang listahan ng mga alertong na-filter batay sa termino para sa paghahanap.
Ang mga gumagamit ay maaaring lumikha ng "paghahanap ng ugnayan" sa ilalim ng dialog box ng paghahanap.
Maaaring mag-load ang mga user ng naka-save na query o magdagdag ng bagong query. Ang pag-click sa magdagdag ng query, makikita ng user ang tagabuo ng query na ito. Nagbibigay-daan ang tagabuo na ito ng paghahanap sa mga datastore ng Stellar Cyber para sa mga banta na hindi napansin. Dito maa-access din ng user ang threat hunting library.
Sa wakas, makakagawa ang user ng mga aksyong tugon na awtomatikong ipapatupad kung ang query ay nagbabalik ng mga tugma.
Sa buod, nag-aalok ang Stellar Cyber ng isang simpleng platform sa pangangaso ng pagbabanta na hindi nangangailangan ng mga user na bumuo ng sarili nilang ELK stack o maging isang power scripter. Ang feature na ito ay isang madaling paraan upang magdagdag ng elemento ng threat-hunting sa isang security team nang hindi kumukuha ng senior threat hunter.
Konklusyon
Ang Stellar Cyber ay isang solidong platform ng pagpapatakbo ng seguridad na may maraming feature na maaaring makatulong sa isang security team na mapabuti ang pagiging produktibo. Kung sa merkado para sa isang bago Platform ng SecOps at bukas sa pagpapatibay (sa kabuuan o bahagi) ng isang bagong diskarte sa seguridad, ito ay nagkakahalaga ng pagtingin sa kung ano ang inaalok ng Stellar Cyber. Upang matuto nang higit pa tungkol sa Stellar Cyber, subukan ang 5 minutong paglilibot sa produkto.
