Протягом останніх кількох місяців XDR абревіатура використовується майже кожним виробником засобів безпеки. Одне діло сказати, що у вас це є, але важка робота, яка вкладається у створення засобів виявлення, вимагає роківНедостатньо сказати, що у вас є платформа великих даних, на яку ви можете завантажувати інформацію та шукати; вам потрібні дієві методи виявлення, які призводять до значущих кореляцій. Ось два ключові моменти, які слід враховувати під час розгляду XDR.
Нормалізація даних – Щоб отримати повну видимість, перше, що вам потрібно врахувати, це самі дані. Кожен продукт безпеки має свій спосіб представлення своїх журналів та сповіщень. Мережеві рішення, інструменти безпеки кінцевих точок, брандмауери, інструменти ідентифікації, інструменти хмарної безпеки та багато інших мають власні формати та частоту сповіщень. Кожен SIEM інструмент може зберігати журнали з цих пристроїв – це найпростіше.
Проблема полягає в тому, що створення складних, багатовимірних правил, які б встигали за поточними темпами атак, практично неможливе. Наприклад, на системі виявлення вразливостей (IDS) ви можете бачити понад мільйон сповіщень на день. Правила Suricata можуть відфільтрувати відомі вразливості до 200,000 XNUMX, але звідти вам зазвичай доводиться створювати серію правил на основі ваших знань про середовище клієнта.
Це та галузь, де використання машинного навчання (ML) для даних IDS може значно зменшити цю кількість до керованої кількох сповіщень. Замість того, щоб писати правила для виявлення об'єктів, ви можете використовувати ML для визначення нормальної поведінки в цій мережі. Коли клієнт зазвичай входить у систему? Звідки він входить? Як довго він зазвичай залишається в системі? Замість 200 000 сповіщень, виявлення ML можуть зменшити це до кількох. Перегляд цієї інформації, пов'язаної з усіма вашими інструментами безпеки, значно пришвидшує та спрощує роботу вашої системи. SOC аналітик для управління.
Відкриті інтеграції – Крім того, переконайтеся, що XDR платформа ви розглядаєте це відкритиОскільки технології безпеки швидко змінюватимуться протягом наступних кількох років, ці платформи допоможуть вам уникнути прив’язки до певного постачальника. Це допоможе вам зберегти здатність адаптуватися до змін у ландшафті кібербезпеки та потреб ваших клієнтів.
У Stellar Cyber – ми думаємо керований API або Open XDR найкращий шлях уперед – незалежно від того, звідки ви родом та які існуючі інструменти використовуєте, а також незалежно від того, куди ви хочете рухатися з точки зору зрілості безпеки. Для нас це означає, що ми допомагаємо розробити стратегію, яка працюватиме для вас як підприємства або для ваших клієнтів як постачальника послуг з управління безпекою (MSSP), використовуючи інвестиції, зроблені вами обома. Зв'яжіться зі мною для жвавого обговорення: ssalinas@stellarcyber.ai
