Всередині каналу передачі даних Stellar Cyber: прихований механізм розумнішої безпеки

By /

Безпека на основі ШІ, Кібербезпека, ІТ-технології, MSSP, мережева безпека, Open XDR, Open XDR платформа

Резюме

Modern SOCКомпанії перевантажені обсягом та складністю даних. Здатність фільтрувати, нормалізувати, збагачувати та маршрутизувати дані безпеки у великих масштабах без втрати точності безпосередньо впливає на точність виявлення, ефективність аналітиків та відповідність вимогам. З повним розумінням важливості проблем, пов'язаних з даними, та потреб у таких можливостях, конвеєр даних Stellar Cyber ​​є не додатковим, а основною можливістю нашої... Платформа SecOps на основі штучного інтелекту від початку. У цьому документі викладено технічні основи конвеєра Stellar Cyber ​​та те, як його унікальна архітектура допомагає командам безпеки об'єднати свої джерела даних, зменшити шум і пришвидшити реагування на інциденти.

Вступ: За межами конвеєрів даних

Хоча деякі продукти зосереджені лише на зборі та переміщенні даних, Stellar Cyber ​​інтегрує повноцінну платформу операцій безпеки з глибоко розробленим конвеєром даних в її основі. Цей конвеєр не просто приймає та транспортує дані; він трансформує їх за допомогою багатоетапного процесу. фільтрує, нормалізує, збагачує, корелює та спрямовує його до належного сховища для робочих процесів виявлення та реагування, а також до резервного сховища, такого як S3Це забезпечує справжню повну видимість, виявлення та реагування.

Основні принципи конвеєра кіберданих Stellar

Щоб забезпечити повсюдну видимість усієї поверхні атак в організації, рішення Stellar Cyber ​​пропонує кілька методів збору даних. Воно може збирати журнали та мережеву телеметрію за допомогою розподілених модульних датчиків, інтегруватися з численними програмами через їхні власні API та розгортати сервер. датчиків для збору даних із серверів Linux та Windows.

1. Фільтрація трафіку на периферії

На відміну від інструментів, які фільтрують дані лише в точці їх отримання в центральному розташуванні, сенсори Stellar Cyber ​​застосовують фільтри трафіку та програм, перш ніж дані залишать джерело. Події, що потрапляють до конвеєра, негайно обробляються розширеними пересилачами. Вони застосовують детальні правила фільтрації в масштабі, тому зберігаються лише ті дані, які необхідні для відповідності, виявлення або аналітики. Ця фільтрація перед їх отриманням:
  • Видаляє нерелевантні події заздалегідь (зменшення шуму на краях).
  • Знижує вимоги до пропускної здатності та сховища шляхом попереднього відкидання некритичних журналів.
  • Забезпечує гнучкість завдяки підтримці фільтрації на основі політик на основі типу програми, порту, протоколу або користувацьких правил.

2. Нормалізація в різних джерелах

Механізм нормалізації Interflow стандартизує формати та схеми журналів з численних різних джерел. Це дозволяє:

  • Автоматизоване виявлення за допомогою машинного навчання або правил
  • Автоматичне зіставлення окремих сповіщень зі справами за допомогою нормалізованих артефактів.
  • Послідовне збагачення для контекстуалізації
  • Швидка аналітика без повторного парсингу.
  • Точні, зрозумілі інформаційні панелі, звіти та розслідування.

3. Контекстне збагачення в режимі реального часу під час завантаження

Як дані надходять у Зоряний Кібер Open XDR платформа, вона збагачується безпосередньо в режимі реального часу, а не після обробки, забезпечуючи телеметрію з широким контекстом для швидкого та точного виявлення та реагування.

Ключові аспекти збагачення включають:
  • Пошук GeoIP та ASN: Миттєво додає дані про країну, місто та автономну систему до кожної події з IP-адресами.
  • Розвідка загроз у реальному часі: Співвідноситься з кількома потоками інформації про загрози (комерційними, з відкритим кодом та визначеними клієнтом), застосовуючи оцінку ризиків у режимі реального часу.
  • Роздільна здатність користувача та сутності: Зіставляє журнали та трафік з ідентифікаторами людей та машин через Active Directory, Okta, системи IAM та інвентаризацію активів.
  • Ідентифікація програми: Механізм глибокої перевірки пакетів (DPI) та відбитки пальців застосунків покращують чіткість подій, виходячи за рамки евристики на основі портів.
  • Користувацьке тегування та впровадження контексту: Адміністратори можуть впроваджувати в потік даних специфічний для бізнесу контекст (наприклад, критичність активів, функцію, зони відповідності).
Таке глибоке, вбудоване збагачення гарантує, що кожне сповіщення та розслідування починається з багатого, практичного контексту, такого як де, коли, хто, що – мінімізуючи час сортування, підвищуючи точність виявлення та пришвидшуючи аналіз першопричин.

4. Маскування та редагування PII/PHI

Конвеєр включає фільтри на основі регулярних виразів та функції маскування для автоматичного видалення конфіденційних полів, таких як особиста інформація або захищена медична інформація. Це допомагає організаціям дотримуватися нормативних вимог, водночас використовуючи дані для аналітики безпеки.

5. Маршрутизація та мультиплексування

За допомогою профілів маршрутизації збагачені події можна надсилати одночасно кільком адресатам (SIEMs, будь-які S3-сумісні озера даних або Snowflake, системи продажу заявок або кластери аналітики). Це дозволяє командам:
  • Уникайте прив'язки до постачальника.
  • Задовольняйте різноманітні потреби у зберіганні даних, дотриманні вимог або аналітиці.
  • Надсилайте дані окремим командам або інструментам без дублювання зусиль з обробки.

6. Виявлення аномалій та дедуплікація в режимі реального часу

Вбудовані модулі виявлення аномалій та машинного навчання після надходження даних виявляють викиди під час надходження даних. Дедуплікація та агрегація ще більше зменшують обсяг даних без шкоди для їхньої точності, що ідеально підходить для середовищ з високим EPS та кількома терабайтами на день.

7. Архітектура багатоорендарного MSSP

З самого початку Stellar Cyber ​​вбудувала у свою платформу можливості багатокористувацького обслуговування. Постачальники послуг з управління ресурсами (MSSP) можуть безпечно керувати кількома клієнтами з повною ізоляцією даних, різними варіантами зберігання, різними періодами зберігання, політиками та звітністю тощо. Це дає MSSP можливість пропонувати різні варіанти для задоволення потреб своїх клієнтів.

8. Інтеграція з власною платформою

Пайплайн є частиною рідної архітектури Stellar Cyber ​​без жодних надбудов чи залежностей від сторонніх розробників. Це гарантує:
  • Менша затримка.
  • Швидші оновлення та масштабованість.
  • Послідовна безпека та дотримання вимог
  • Безпосередній зворотний зв'язок між постобробкою та механізмом обробки даних.

9. Гнучкість міграції даних

Stellar Cyber ​​підтримує міграцію зі старих систем SIEMдо нових озер даних або аналітичних платформ за допомогою конекторів та профілів маршрутизації, зберігаючи безперервність та уникаючи дорогих проектів копіювання та заміни.

Масштабованість та зрілість

Архітектура конвеєра Stellar Cyber ​​була перевірена в глобальних розгортаннях з багатотерабайтним обсягом даних на день. Клієнти регулярно масштабуються до десятків тисяч кінцевих точок і десятків джерел даних без вузьких місць. Зрілість платформи дозволяє командам безпеки швидко розгортати, широко інтегруватися та довіряти конвеєру у виробництві.

Чому важливий конвеєр даних Stellar Cyber

Оскільки конвеєр вбудований у платформу SecOps на основі штучного інтелекту, аналітики отримують не лише чисті дані, але й автоматизоване виявлення, розслідування та реагування, і все це з єдиного об'єднаного середовища. Це означає:
  • Швидший MTTR.
  • Вища ефективність аналітиків.
  • Зменшення витрат на інфраструктуру.
  • Повна видимість від процесу вживання до моменту усунення наслідків.

Висновок

Конвеєр даних Stellar Cyber ​​— це більше, ніж просто транспортний механізм; це основа єдиної платформи операцій безпеки на базі штучного інтелекту. Фільтруючи джерело, нормалізуючи різні канали, збагачуючи контекстом та гнучко маршрутизуючи дані, Stellar Cyber ​​надає можливості SOC команди працювати масштабно, долати шум і швидше реагувати на загрози.

схожі повідомлення

Прокрутка до початку
Підпишіться на розсилку