Створення правильного фундаменту для майбутнього SOC

By /

EDR - Виявлення та реагування на кінцеві точки, Сповіщення EDR, NDR, SIEM, SIEM technology, SOC

Виявлення та реагування в мережі

Чому SIEM + NDR + Будь-який EDR – це найнадійніший шлях до автономного, доповненого людиною SOC

Кожен лідер у сфері безпеки стикається з одним і тим самим питанням: що має бути в основі сучасної платформи SecOps? CrowdStrike, SentinelOne та інші стверджують про... підхід, орієнтований на кінцеву точку: почніть з EDR, а потім продовжуйте SIEM та будь-які повідомлення про невідповідність. У Stellar Cyber ​​ми вважаємо, що міцніший фундамент походить від SIEM + NDR, плюс будь-який EDR.

Обидва підходи претендують на об'єднання. Обидва обіцяють прозорість по всьому ланцюжку знищення. Але справжня різниця полягає в де ви закріплюєте свою архітектуру— і цей вибір має значення, якщо ви серйозно налаштовані на прагнення до доповнений людиною автономний SOC.

Чому EDR-first звучить привабливо, але має свої обмеження

EDR набрав популярності, оскільки кінцеві точки є всюди: ноутбуки, сервери, хмарні робочі навантаження, а тепер і пристрої Інтернету речей та OT. Такі постачальники, як CrowdStrike а SentinelOne створила потужні екосистеми навколо телеметрії кінцевих точок, і для багатьох організацій це був найшвидший спосіб виявляти складні загрози.

Однак, вигляд кінцевої точки за своєю суттю обмежений.
  • Кінцеві точки не демонструють повного бічного руху по мережі.
  • Вони не враховують контекст неправомірного використання ідентифікаційних даних, журналів програм та активності в хмарі.
  • А оскільки більшість продуктів EDR є власними, ви прив'язані до агентів, форматів даних та аналітики одного постачальника.

Ось чому платформи, що в першу чергу базуються на EDR, зрештою намагаються додати SIEM or NDRАле архітектура все ще вражає EDR як основне джерело істини — і саме тут виникають сліпі плями.

Чому SIEM + NDR + Будь-який EDR є кращою основою

Якщо вашою метою є операційна ефективність та шлях до автономії, вам потрібно побачити всю картину з самого початкуОсь чому Stellar Cyber ​​наголошує SIEM + NDR як основний, з можливістю ковтати будь-який EDR.

Ось чому цей підхід є сильнішим:

  1. Журнали розповідають історію намірів. A SIEM Фундамент означає, що ви починаєте з найгнучкішого та найширшого джерела даних — журналів із програм, хмари, систем ідентифікації та інфраструктури. Журнали фіксують контекст і наміри: невдалі входи, підвищення привілеїв, незвичайні виклики API. Ці сигнали є критично важливими для виявлення атак до їхнього початку.
    2.  
  2. Мережевий трафік розкриває реальну реальність. Зловмисники можуть видаляти журнали або обходити кінцеві точки, але вони не можуть уникнути мережі. NDR забезпечує видимість горизонтального переміщення, командування та управління, а також витоку даних. Без NDR ви дієте наосліп на проміжних етапах ланцюжка знищення.
    3.  
  3. Будь-яке EDR доповнює картину. Підключивши будь-який EDR, який ви вже використовуєте—CrowdStrike, SentinelOne, Microsoft Defender або інші — ви все одно збираєте детальну телеметрію кінцевих точок. Але ви не змушені бути прив’язаними до постачальника. Ви отримуєте свободу впроваджувати нові інструменти EDR у міру розвитку потреб бізнесу, водночас ваш основний Платформа SecOps залишається стабільним.
Результат: логи (наміри) + пакети (поведінка) + кінцеві точки (активність). Це тривимірний вигляд гарантує, що ви не будете надмірно зосереджені на одному джерелі даних.

Автономія, доповнена людиною, починається з балансу

У галузі багато говорять про автономний SOC— де ШІ виконує повторювані завдання, а люди зосереджуються на рішеннях з високою цінністю. Але автономія працює лише за умови, що ШІ має збалансована основа данихНадавайте йому лише дані кінцевих точок, і ваш ШІ буде орієнтуватися на шаблони, орієнтовані на кінцеві точки. Надавайте йому журнали та пакети як ядро, і ШІ бачитиме ширші шаблони, які охоплюють ідентифікаційні дані, програми та бічний трафік.

Саме цей баланс дозволяє доповнений людиною SOC:

  • AI корелює між джерелами, пригнічує шум та загострює реальні інциденти.
  • Людей застосовувати судження, перевіряти критичні сигнали та вирішувати, як реагувати.
Коли ваша основна платформа SIEM + NDR + Будь-яке EDR — це налаштування ШІ на розумніший, повніший та менш упереджений, щоб аналітики-люди могли йому довіряти.

Контроль витрат та операційна реальність

Ще одна практична перевага: вартість і гнучкість.

Якщо ви закріпите свій SOC У моделі, що орієнтована на EDR, ви прив'язані до ліцензування та екосистеми цього постачальника. Хочете змінити EDR? Ви ризикуєте зламати ядро ​​вашого стеку SecOps. Ось чому так багато постачальників купують, а не створюють NDR або SIEM— вони намагаються прикріпити відсутні частини, не втрачаючи контролю над кінцевою точкою якоря.

На відміну від, SIEM + NDR в основі є агностик до постачальника кінцевої точкиВи можете запустити CrowdStrike сьогодні, перейти на Microsoft завтра або підтримувати кілька EDR у дочірніх компаніях. Ваш SOC Робочі процеси, панелі інструментів та кореляція ШІ не перериваються. А оскільки мережа та збір журналів масштабуються ефективніше, ніж розгортання нових агентів кінцевих точок повсюди, ви часто економите як на ліцензуванні, так і на операційних витратах.

Історія з поля

Один менеджер із SecOps нещодавно поділився з нами своїм досвідом. Вони почали з платформи, орієнтованої на EDR, бо вона здавалася найпростішою. ​​З часом вони зрозуміли, що їхні аналітики все ще ганяються за привидами — сповіщеннями без перевірки мережі, неповними часовими рамками інцидентів та атаками з пропущеними обліковими даними.

Коли вони перейшли до Stellar Cyber SIEM + Фонд NDR, зберігаючи існуючий EDR, зміни відбулися негайно. Сповіщення стали багатшими, оскільки мережеві докази та контекст журналів оточували кожну подію кінцевої точки. Аналітики довіряли інцидентам, над якими вони працювали, час сортування скоротився більш ніж вдвічі, а керівництво нарешті побачило економічна ефективність їм було обіцяно.

Такого операційного зрушення можна досягти лише тоді, коли ядро ​​побудоване для об'єднання в широкому, а не вузькому аспекті.

Шлях вперед

Дебати між ЕДР + SIEM + будь-який NDR та SIEM + Недоставка + будь-яка Попередня доставка це не просто семантика. Йдеться про з чого ви починаєте, на чому спираєтесь і наскільки гнучким стає ваше майбутнє.

Стратегія, орієнтована на кінцеву точку, прив'язує вас до одного об'єктива. Стратегія, орієнтована на лог-файли та мережу, відкриває діафрагму та дозволяє додавати будь-який об'єктив кінцевої точки на ваш вибір. Це основа для автономний, доповнений людиною SOC— де ШІ масштабує ваші можливості SecOps, а люди контролюють судження та стратегію.

Зрештою, найстрашніші загрози існують не лише на кінцевих точках. Вони поширюються через журнали, пакети та ідентифікаційні дані. Створіть свій SOC спираючись на цю істину, ви не лише швидше зупините загрози, але й досягнете їх завдяки контролю витрат, гнучкості та автономії, яких потребує ваш бізнес.

схожі повідомлення

Від піраміди болю до піраміди впливу: переосмислення ролі аналітика в доповненій людиною SOC

Від піраміди болю до піраміди впливу: переосмислення ролі аналітика в доповненій людиною SOC

Безпека на основі ШІ, Штучний Інтелект, Кібератаки, Кібербезпека, EDR - Виявлення та реагування на кінцеві точки, Особистість, Виявлення та реагування на загрози ідентифікаційним даним (ITDR), MSSP, NDR, NG-SIEM, Open XDR, Open XDR платформа, OT Security, технології безпеки, SOC / К
Безпека ідентифікаційних даних, переосмислена: як Stellar Cyber ITDR Зупиняє атаки на основі облікових даних, перш ніж вони поширяться

Безпека ідентифікаційних даних, переосмислена: як Stellar Cyber ITDR Зупиняє атаки на основі облікових даних, перш ніж вони поширяться

Безпека на основі ШІ, Штучний Інтелект, Кібератаки, Кібербезпека, EDR - Виявлення та реагування на кінцеві точки, Особистість, Виявлення та реагування на загрози ідентифікаційним даним (ITDR), MSSP, NDR, NG-SIEM, Open XDR, Open XDR платформа, OT Security, технології безпеки, SOC / К
Прокрутка до початку
Підпишіться на розсилку