Для постачальників систем безпеки та тих, хто працює в XDR ринок спеціально, існує архітектурна вісь побудови проти інтеграції. З одного боку, у вас є «Збудувати / Придбати все» – вертикально інтегровані постачальники, які хочуть бути повноцінним постачальником систем безпеки підприємства. З іншого боку, у вас є «Інтегруйся з усім» – постачальники, які створюють окремий компонент або API, призначений для об'єднання у більшу архітектуру. Обидва підходи мають свої переваги та недоліки. Табір «Створити / Придбати все» може щільно поєднати всі компоненти разом, щоб створити цілісний досвід безпеки, але вони роблять це за рахунок зосередженості та, ймовірно, не будуть найкращими у своєму роді. Табір «Інтегрувати все» насолоджується наданою їм зосередженістю та може створити фантастичний продукт з мінімальним обсягом, але вимагатиме від певного покупця, щоб він включав їх у своє ширше портфоліо рішень безпеки.
У Stellar Cyber ми дотримуємося підходу, прагнучи бути десь посередині цієї архітектурної осі – балансу між вбудованими можливостями (зокрема NDR, SIEM, TIP, А XDR Двигун AI) та можливості, з якими ми інтегруємося. Одним з найважливіших класів продуктів, з якими ми інтегруємося, є EDR. Нещодавно ми оголосили про Перший у галузі універсальний EDR, що полягає в можливості перенести будь-який EDR або EDR на нашу платформу, і ми не лише підтримуємо їх, але й покращуємо, забезпечуючи певний рівень точності незалежно від вибору EDR. Іншими словами, це дозволяє користувачам отримати найкраще від вбудованих та інтегрованих підходів – це пропонує Універсальна інтеграція EDR де продукт, що інтегрується, настільки тісно інтегрований, що поводиться так, ніби є рідною частиною платформи, проте платформа залишається відкритою.
Однією з найбільших технічних проблем, з якими ми зіткнулися під час розробки цієї можливості, було те, як послідовно генерувати високоточні сповіщення незалежно від постачальника EDR. Ми описуємо наш технічний підхід так «Шляхи оповіщення» або методи обробки, необхідні для переходу від вихідних даних EDR до високоточних сповіщень у Stellar Cyber. Кожен EDR відрізняється, що стало основою для необхідності розробки системи для ефективного обробки кожного EDR.
Фреймворк та шляхи сповіщень, описані нижче, є легкодоступними функціями внутрішнього середовища в Зоряний кібер Open XDR платформа.
Шлях сповіщення 1 – «Збагачення через прохід»
Метод «Збагачення через проходження» використовує оповіщень з джерела Системи електронного розпізнавання даних (EDR), а потім збагачує ці сповіщення додатковою інформацією про загрози та узгоджує їх із MITER ATT&CKУ певному сенсі це схоже на додавання додаткового контексту після повторного повідомлення новин, але може бути дуже ефективним, якщо в джерелі є певні попередження. EDR мають найвищу точність. Однак у нашому дослідженні цей підхід у кращому випадку застосовний лише частково для будь-якого заданого EDR.
Шлях сповіщення 2 – «Дедуплікація»
Метод «дедуплікації» застосовує машинне навчання для ідентифікації вихідного EDR. оповіщень які дублюються та, ймовірно, є частиною однієї й тієї ж діяльності, та генерує єдине сповіщення в Stellar Cyber для покращення автоматизації та продуктивності аналітиків.
Шлях сповіщення 3 – «Машинне навчання на основі подій»
Метод «машинного навчання на основі подій» є найбільш технічно складним, оскільки всі вихідні EDR події та сповіщення обробляються за допомогою різних моделей сповіщень машинного навчання, які генерують нові сповіщення в Stellar Cyber. Це вимагає значного дослідження даних та надійного процесу нормалізації для реалізації у всіх постачальників EDR.
Наш підхід до універсального EDR
Нашим керівним принципом під час розробки цієї системи є безпека для кінцевого користувача. Оскільки жодна EDR не є однаковою, це означає, що ми застосовуємо різні шляхи сповіщень до різних підмножин сповіщень та подій у різних продуктах EDR. Наприклад, EDR 1 може мати 10% наскрізного проходження, 50% дедуплікації та 40% машинного навчання на основі подій, тоді як для EDR 2 ці співвідношення можуть становити 0%, 80% та 20% відповідно.
Для компанії, яка не створює власної системи EDR, ми опиняємося на передовій досліджень у сфері безпеки кінцевих точок. Це захопливо як для самої галузі, так і для наших клієнтів. Попереду ще багато роботи, і якщо ви зацікавлені приєднатися до нашої талановитої команди фахівців з безпеки або інженерів, будь ласка, ознайомтеся з нашими... вакансії.
