Спочатку опубліковано в
Майже кожен постачальник, від компаній, що займаються шлюзами електронної пошти, до розробників платформ аналізу загроз, позиціонує себе як XDR гравця. Але, на жаль, шум навколо XDR ускладнює для покупців пошук рішень, які можуть їм підійти, або, що ще важливіше, уникнення тих, які не відповідають їхнім потребам.
Stellar Cyber пропонує Open XDR рішення, яке дозволяє організаціям використовувати будь-які інструменти безпеки, які вони бажають, у своєму стеку безпеки, надсилаючи сповіщення та журнали до Stellar Cyber. «Відкритий» підхід Stellar Cyber означає, що їхня платформа може працювати з будь-яким продуктом. Як результат, команда безпеки може вносити зміни, не замислюючись про те, чи Stellar Cyber Open XDR платформа все ще працюватиме.
Stellar Cyber задовольняє потреби команд безпеки підприємства з економного виробництва, надаючи можливості, типові для NG-SIEM, NDR та SOAR продукти у своїх Open XDR платформа, що управляється однією ліцензією. Така консолідація дозволяє клієнтам усунути складність стеку безпеки.
Stellar Cyber обслуговує клієнтів у всіх основних галузях промисловості, з клієнтами з Європи, Азії, Австралії, Японії, Південної Кореї та Африки, забезпечуючи безпеку для понад 3 мільйонів активів. Крім того, Stellar Cyber стверджує, що після розгортання користувачі спостерігають до 20 разів швидше середній час реагування (MTTR), що є сміливим твердженням.
Реагування на інцидент з головної сторінки
Під час входу в Stellar Cyber початковий екран – це головний екран аналітика, на якому відображається статистика, така як найпопулярніші інциденти та найризикованіші активи. Цікавою частиною цього екрану є те, що Stellar Cyber називає Open XDR Ланцюг знищення. Клацання на будь-якому сегменті ланцюжка знищення, наприклад, «Початкові спроби», показує загрози, пов’язані з цією частиною ланцюжка атаки.
Наприклад, користувач може бачити ці сповіщення на етапі «Початкові спроби», автоматично встановленому Stellar Cyber. Користувач може переглянути більше інформації про сповіщення, натиснувши кнопку «Переглянути» на будь-якому зі сповіщень. Потім, прокручуючи екран вниз, користувач може натиснути гіперпосилання «додаткова інформація», щоб переглянути більше інформації про вибране сповіщення.
Тут користувач може прочитати про інцидент, переглянути деталі та побачити необроблені дані, що стоять за цим інцидентом, а також JSON, який за потреби можна скопіювати в буфер обміну. Крім того, натиснувши кнопку «Дії», користувач може побачити інші потужні функції платформи.
Користувач може виконувати дії у відповідь на цьому екрані, такі як «додати фільтр», «ініціювати надсилання електронного листа» або «виконати зовнішню дію». Натискання на зовнішню дію відображає додатковий список вибору. Користувач може натиснути на «Кінцеву точку», щоб переглянути варіанти дій від «утримувати хост» до «вимкнути хост».
Після натискання на дію, таку як «містити хост», відображається діалогове вікно конфігурації, де користувач може вибрати конектор для використання, ціль дії та будь-які інші параметри, необхідні для початку вибраної дії. Підсумовуючи, аналітики безпеки, особливо молодші спеціалісти, вважатимуть цей робочий процес дуже корисним, оскільки вони можуть а) швидко переглянути деталі інциденту з головного екрана, б) побачити ще більше деталей, заглибившись у дані, та в) вжити заходів щодо виправлення з цього екрана без написання будь-яких скриптів чи коду.
Підприємство може допомогти новим аналітикам у залученні, запропонувавши їм працювати над цим представленням даних, щоб ознайомити їх із платформою, обробляючи інциденти з низьким пріоритетом, щоб інші аналітики могли працювати над більш критичними інцидентами.
Дослідження інцидентів
Замість того, щоб натискати на Open XDR Якщо користувач натисне кнопку «Інциденти», Kill Chain відобразиться екран нижче.
Коли користувач натискає на морквину в синьому колі, список фільтрів дозволяє йому зосередитися на певному типі інциденту. Користувач може перейти безпосередньо до кнопки деталей, щоб побачити, що міститься в цьому детальному вигляді.
Користувач може бачити, як цей інцидент стався та поширився на кілька ресурсів. Крім того, користувач може автоматично бачити файли, процеси, користувачів та служби, пов’язані з інцидентом. Наприклад, користувач може переключитися на часову шкалу, щоб отримати зручну для читання історію цього інциденту.
І натисніть маленьку літеру «i», щоб перейти до екрана з детальною інформацією, показаного раніше.
Підсумовуючи, аналітики, які звикли працювати зі списком сповіщень, можуть розпочати свої розслідування зі сторінки інцидентів. Цей режим перегляду також корисний, оскільки автоматично відображає всі сповіщення, пов’язані з цим інцидентом, в одному режимі перегляду.
Полювання на загрози в Stellar Cyber
Користувачі можуть розпочати пошук загроз з екрана вище. Статистика на екрані динамічно змінюється після введення терміна, такого як «вхід», у діалоговому вікні пошуку. Потім, прокручуючи екран вниз, користувачі можуть побачити список сповіщень, відфільтрованих на основі пошукового терміна.
Користувачі можуть створити «кореляційний пошук» у діалоговому вікні пошуку.
Користувачі можуть завантажити збережений запит або додати новий. Натиснувши кнопку «Додати запит», користувач побачить цей конструктор запитів. Цей конструктор дозволяє шукати загрози, які залишилися непоміченими, у сховищах даних Stellar Cyber. Тут користувач також може отримати доступ до бібліотеки пошуку загроз.
Зрештою, користувач може створювати дії відповіді, які автоматично виконуються, якщо запит повертає збіги.
Підсумовуючи, Stellar Cyber пропонує просту платформу для пошуку загроз, яка не вимагає від користувачів створювати власний ELK-стек або бути досвідченим скриптером. Ця функція — простий спосіб додати елемент пошуку загроз до команди безпеки без найму старшого спеціаліста з пошуку загроз.
Висновок
Stellar Cyber — це надійна платформа для операцій безпеки з багатьма функціями, які можуть допомогти команді безпеки підвищити продуктивність. Якщо ви шукаєте нову... Платформа SecOps і відкриті до впровадження (повністю або частково) нового підходу до безпеки, варто ознайомитися з тим, що пропонує Stellar Cyber. Щоб дізнатися більше про Stellar Cyber, спробуйте 5-хвилинний огляд продукту.
