Marami MSSP's gamitin SIEMs at iba pang mga solusyon sa pamamahala ng log / pagsasama-sama / pagsusuri para sa kakayahang makita sa cybersecurity, ngunit sapat na ba ang pagtatasa ng log? Naririnig namin ang higit pa at higit pa tungkol sa holistic security solution tulad ng XDR platform ang pag-angkin na saklaw ang buong ibabaw ng pag-atake, lalo na dahil ang pinakabagong pag-atake ng pipeline ay nagpatibay sa likas na tambalan ng sopistikadong mga multi-stage cyberattack ngayon. Inamin ng mga umaatake na hindi nila inaasahan na ang kanilang pag-atake ay papatayin ang pipeline, ngunit ang resulta ay nagwawasak. Tingnan natin nang mabilis ang nakuha mula sa mga troso, at kung ano ang hindi nakuha mula sa mga tala.
Ang mga troso ayon sa kanilang likas na katangian ay isang pagtingin sa nakaraan. Binibigyan kami ng kakayahang makita sa aktibidad ng file at mga server ng aplikasyon, mga system ng pamamahala ng gumagamit tulad ng Active Directory, mga server ng e-mail, at iba pang mga tool. Kapag ang mga log ay maayos na naiuugnay at pinag-aralan, malalaman natin kung kailan nagaganap ang mga anomalya sa mga sistemang ito.
Ngunit paano ang tungkol sa zero-day na pag-atake? Kung walang reputasyon para sa isang ransomware file, paano mo ito matutukoy? Ang sagot ay hindi mo magagawa hanggang sa ito ay dumami sa iyong kapaligiran hanggang sa puntong ito ay kapansin-pansin sa pamamagitan ng maraming mga alerto MATAPOS na-impeksyon ito ng isang makabuluhang bahagi ng iyong kapaligiran.
Kaya, paano natin makukuha ang higit na kakayahang makita? Una, sa halip na basta kumuha lang ng mga raw log, kailangan nating isaalang-alang kung paano kukunin ang security metadata mula sa mga log na iyon mula sa maraming source. Susunod, kailangan nating patakbuhin ang data na iyon lampas sa maraming threat intelligence feeds. Kung walang hit sa file mula sa threat intelligence, kailangan ng awtomatikong paraan para ibahagi ang file na iyon sa isang sandbox. Kapag na-classify na ito ng sandbox, kailangang maisama ang reputasyong iyon sa event. Ito ang dahilan kung bakit ang ideya ng XDR pagsasama-sama ng mga hakbang na ito sa isang solong dashboard ay nagiging isang napakainit na paksa - ang mga kumplikadong pag-atake ay hindi madaling makita sa mga niloko na koponan at tool.
Sa huli, ang automation na ito ay lubos na magpapasimple sa daloy ng trabaho para sa SOC analyst. Maaari silang tumuon sa mga magkakaugnay na kaganapan sa halip na maghintay na ang mga sitwasyon ay makabuo ng isang malaking bilang ng mga alerto bago ito makakuha ng kanilang atensyon. Ito ay makabuluhang magbabawas sa MTTD. Gamit ang tamang impormasyon, maaari rin silang kumilos nang mabilis, na binabawasan ang MTTR.
Ang mga troso ay mayroong kanilang lugar sa cybersecurity mula sa isang pananaw sa pagsunod. Ngunit kung umaasa ka lamang sa mga troso para sa pagsusuri at pag-aayos, nawawalan ka ng isang malaking pagkakataon upang magamit ang automation at kakayahang makita sa mga tool at pagtuklas upang mapabuti ang iyong pustura sa seguridad at mabawasan ang posibilidad ng isang pag-atake na maaaring makaapekto nang malaki sa iyong mga pagpapatakbo sa negosyo.
Makikita mo kung paano ginagamit ng mga MSSP ang "Open" ng Stellar Cyber. XDR upang magdulot ng mataas na kita mula sa margin dito, o makipag-ugnay sa akin nang direkta brian@stellarcyber.ai.
