Stellar Cyber ​​Open XDR - logo
paghahanap
Isara ang box para sa paghahanap na ito.
Stellar Cyber ​​Open XDR - logo
Stellar Cyber ​​Open XDR - logo

Teknikal na Pagdulog Sa Universal EDR

Para sa mga security vendor at sa mga nasa Partikular na merkado ng XDR, mayroong architectural axis ng build vs. integrate. Sa isang dulo, mayroon ka "Buuin / Kunin ang Lahat" – mga vendor na patayo na pinagsama at gustong maging buong security stack ng isang enterprise. Sa kabilang dulo, mayroon ka “Isama sa Lahat” – mga vendor na bumuo ng isang bahagi o API na nilalayong isama sa isang mas malaking arkitektura. Mayroong mga kalamangan at kahinaan para sa parehong mga diskarte. Ang kampo na "Bumuo / Kunin ang Lahat" ay maaaring mahigpit na ikonekta ang lahat ng mga bahagi upang lumikha ng isang magkakaugnay na karanasan sa seguridad, ngunit ginagawa nila ito sa gastos ng pagiging nakatuon at malamang na hindi magiging pinakamahusay na lahi. Ang kampo na "Isama ang Lahat" ay natutuwa sa kanilang binibigyang pansin at maaaring bumuo ng isang kamangha-manghang produkto na may kaunting saklaw, ngunit nangangailangan ng isang partikular na mamimili na ilagay ang mga ito sa kanilang mas malawak na portfolio ng seguridad.

Sa Stellar Cyber, ginagawa namin ang diskarte na nasa isang lugar sa gitna ng architectural axis na ito - isang balanse sa pagitan ng mga built-in na kakayahan (kapansin-pansin NDR, SIEM, TIP, at ang XDR AI engine) at mga kakayahan na aming pinagsamahan. Ang isa sa pinakamahalagang klase ng produkto na aming pinagsamahan ay ang EDR. Inanunsyo namin kamakailan ang Unang Pangkalahatang EDR ng Industriya, na kung saan ay ang kakayahang magdala ng anumang EDR o EDR sa aming platform, at hindi lang namin sila sinusuportahan, ngunit ginagawa naming mas mahusay ang mga ito habang tinitiyak ang antas ng katapatan anuman ang napiling EDR. Sa madaling salita, binibigyang-daan nito ang mga user na makuha ang pinakamahusay sa mga built-in at pagsasama-sama ng mga diskarte – nag-aalok ito ng isang Pangkalahatang pagsasama ng EDR kung saan ang produktong isinasama ay mahigpit na isinama na ito ay kumikilos na parang ito ay isang katutubong bahagi ng platform, ngunit ang platform ay nananatiling bukas.

Ang isa sa mga pinakamalaking teknikal na hamon na naranasan namin sa pagbuo ng kakayahang ito ay kung paano patuloy na bumuo ng mga alerto na may mataas na katapatan anuman ang vendor ng EDR. Inilalarawan namin ang aming teknikal na diskarte bilang “Mga Landas ng Alerto” o ang mga diskarte sa pagpoproseso na kinakailangan upang pumunta mula sa pinagmulang data ng EDR patungo sa isang alerto na may mataas na katapatan sa Stellar Cyber. Bawat Si EDR ay naiiba, na naging batayan para sa pangangailangang bumuo ng isang balangkas upang mahawakan nang epektibo ang bawat EDR.

Ang framework at Alert Pathways na inilarawan sa ibaba ay madaling magagamit na mga tampok sa backend sa Stellar Cyber ​​Open XDR Platform.

 

Alerto Pathway 1 – “Passthrough Enrichment”

Ang diskarteng "Passthrough Enrichment" ay kumukuha ng mga alerto mula sa pinagmulang EDR system, pagkatapos ay pinapayaman ang mga alertong iyon na may karagdagang threat intelligence at ini-align ang mga ito sa MITER ATT&CK. Sa isang kahulugan, ito ay tulad ng pagdaragdag ng ilang karagdagang konteksto pagkatapos muling iulat ang balita, ngunit maaaring maging lubos na epektibo kung ang ilang partikular na alerto sa pinagmulang EDR ay may pinakamataas na katapatan. Gayunpaman, sa aming pananaliksik, ang diskarteng ito ay pinakamainam na bahagyang naaangkop lamang para sa anumang ibinigay na EDR.

Ang pamamaraan ng "Passthrough Enrichment" ay tumatagal alerto mula sa pinagmulan Mga sistema ng EDR, pagkatapos ay pagyamanin ang mga alertong iyon gamit ang karagdagang threat intelligence at ihanay ang mga ito sa MITER ATT&CK. Sa isang kahulugan, ito ay tulad ng pagdaragdag ng ilang karagdagang konteksto pagkatapos muling iulat ang balita, ngunit maaaring maging lubos na epektibo kung ilang partikular na alerto sa pinagmulan Si EDR ay may pinakamataas na katapatan. Gayunpaman, sa aming pananaliksik, ang diskarte na ito ay pinakamainam na bahagyang naaangkop lamang para sa anumang ibinigay Si EDR.

 

Alerto Pathway 2 – “Deduplication”

Susunod na Gen SIEM

Inilalapat ng diskarteng "Deduplication" ang Machine Learning upang matukoy ang pinagmulang EDR alerto na duplicative at malamang na bahagi ng parehong aktibidad, at bumubuo ng isang alerto sa loob ng Stellar Cyber ​​upang mapabuti ang automation at pagganap ng analyst.

 

Alerto Pathway 3 – “Machine Learning Event-Based”

Pagsusuri ng trapiko sa network

Ang diskarteng "Batay sa Kaganapan sa Pag-aaral sa Machine" ay ang pinaka-technical na hamon dahil lahat ng pinagmulan ay EDR mga kaganapan at alerto ay pinoproseso sa pamamagitan ng iba't ibang mga modelo ng alerto ng ML na bumubuo ng mga bagong alerto sa nobela sa loob ng Stellar Cyber. Nangangailangan ito ng makabuluhang pag-aaral ng data at isang matibay na proseso ng normalisasyon upang maisagawa ang mga vendor ng EDR.

 

Ang aming Diskarte sa Universal EDR

Ang aming gabay na prinsipyo para sa pagdidisenyo ng balangkas na ito ay ang resulta ng seguridad para sa end-user. Dahil walang EDR na pareho, nangangahulugan ito na naglalapat kami ng iba't ibang Mga Pathway ng Alerto sa iba't ibang subset ng mga alerto at kaganapan sa iba't ibang produkto ng EDR. Halimbawa, ang EDR 1 ay maaaring may 10% Passthrough, 50% Deduplication, at 40% Machine Learning Event-Based, habang para sa EDR 2 ang mga ratio na iyon ay maaaring 0%, 80%, at 20% ayon sa pagkakabanggit.

Para sa isang kumpanyang hindi gumagawa ng isang in-house na EDR, makikita namin ang aming sarili sa dumudugo na gilid ng endpoint-based na pananaliksik sa seguridad. Ito ay panloob na kapana-panabik para sa mismong hangganan, ngunit ang pinakamahalaga dahil sa kung ano ang ibig sabihin nito para sa aming mga customer. Marami pang kailangang gawin, at kung interesado kang sumali sa aming mahuhusay na security o engineering team, mangyaring tingnan ang aming pagbubukas ng trabaho.