Tại sao SIEM + NDR + Bất kỳ EDR nào cũng là con đường mạnh mẽ nhất hướng tới khả năng tự lái được hỗ trợ bởi con người SOC
Mọi nhà lãnh đạo an ninh đều phải đối mặt với cùng một câu hỏi: cốt lõi của một nền tảng SecOps hiện đại nên là gì? CrowdStrike, SentinelOne và các công ty khác đều ủng hộ một phương pháp tiếp cận điểm cuối đầu tiên: Bắt đầu với EDR, sau đó bổ sung thêm SIEM và bất kỳ NDR nào. Tại Stellar Cyber, chúng tôi tin rằng nền tảng vững chắc hơn đến từ... SIEM + NDR, cộng với bất kỳ EDR nào.
Cả hai cách tiếp cận đều tuyên bố thống nhất. Cả hai đều hứa hẹn khả năng hiển thị trên toàn bộ chuỗi tiêu diệt. Nhưng sự khác biệt thực sự nằm ở nơi bạn neo giữ kiến trúc của mình—và sự lựa chọn đó quan trọng nếu bạn nghiêm túc muốn xây dựng hướng tới một được tăng cường bởi con người tự trị SOC.
Tại sao EDR-first nghe có vẻ hấp dẫn—nhưng có những hạn chế
EDR đã thu hút được sự chú ý vì các điểm cuối ở khắp mọi nơi: máy tính xách tay, máy chủ, khối lượng công việc đám mây và giờ đây là các thiết bị IoT và OT. Các nhà cung cấp như CrowdStrike và SentinelOne đã xây dựng các hệ sinh thái mạnh mẽ xung quanh hệ thống đo từ xa điểm cuối và đối với nhiều tổ chức, đây là cách nhanh nhất để phát hiện các mối đe dọa nâng cao.
- Điểm cuối không hiển thị chuyển động ngang hoàn toàn trên mạng.
- Họ bỏ lỡ bối cảnh về việc sử dụng sai danh tính, nhật ký ứng dụng và hoạt động trên đám mây.
- Và vì hầu hết các sản phẩm EDR đều là độc quyền nên bạn sẽ bị giới hạn bởi các tác nhân, định dạng dữ liệu và phân tích của một nhà cung cấp duy nhất.
Tại sao SIEM + NDR + Bất kỳ EDR nào cũng là một nền tảng tốt hơn
Nếu mục tiêu của bạn là hiệu quả hoạt động và con đường hướng tới sự tự chủ, bạn cần phải nhìn thấy toàn cảnh ngay từ đầu. Đó là lý do tại sao Stellar Cyber nhấn mạnh SIEM + NDR là cốt lõi, với khả năng hấp thụ bất kì BDU.
Sau đây là lý do tại sao cách tiếp cận đó hiệu quả hơn:
- Nhật ký kể lại câu chuyện về ý định. A SIEM Nền tảng nghĩa là bạn bắt đầu với nguồn dữ liệu linh hoạt và rộng nhất—nhật ký từ các ứng dụng, đám mây, hệ thống nhận dạng và cơ sở hạ tầng. Nhật ký ghi lại bối cảnh và mục đích: đăng nhập thất bại, leo thang đặc quyền, các lệnh gọi API bất thường. Những tín hiệu này rất quan trọng để phát hiện các cuộc tấn công trước khi chúng bùng nổ.
- Lưu lượng mạng tiết lộ sự thật. Kẻ tấn công có thể xóa nhật ký hoặc bỏ qua điểm cuối, nhưng chúng không thể tránh khỏi mạng. NDR cung cấp khả năng hiển thị chuyển động ngang, chỉ huy và kiểm soát, và rò rỉ dữ liệu. Nếu không có NDR, bạn sẽ mù mờ giữa các giai đoạn của chuỗi tiêu diệt.
- Bất kỳ EDR nào cũng có thể hoàn thiện bức tranh. Bằng cách cắm bất kỳ EDR nào bạn đang sử dụng—CrowdStrike, SentinelOne, Microsoft Defender hoặc các giải pháp khác—bạn vẫn có thể ghi lại dữ liệu đo từ xa chi tiết về điểm cuối. Nhưng bạn không bị ràng buộc vào nhà cung cấp. Bạn có quyền tự do áp dụng các công cụ EDR mới khi nhu cầu kinh doanh thay đổi, trong khi hệ thống cốt lõi của bạn Nền tảng SecOps vẫn ổn định.
Sự tự chủ được tăng cường bởi con người bắt đầu bằng sự cân bằng
Ngành công nghiệp nói rất nhiều về tự trị SOC—nơi AI xử lý các nhiệm vụ lặp đi lặp lại và con người tập trung vào các quyết định có giá trị cao. Nhưng tính tự chủ chỉ hoạt động nếu AI có nền tảng dữ liệu cân bằng. Chỉ cung cấp dữ liệu điểm cuối, AI của bạn sẽ thiên về các mô hình tập trung vào điểm cuối. Nếu cung cấp nhật ký và gói tin làm cốt lõi, AI sẽ nhận diện các mô hình rộng hơn, trải rộng trên nhiều danh tính, ứng dụng và lưu lượng truy cập ngang hàng.
Sự cân bằng này là thứ cho phép được tăng cường bởi con người SOC:
- AI có mối tương quan giữa các nguồn, ngăn chặn tiếng ồn và làm trầm trọng thêm các sự cố thực tế.
- Con người áp dụng phán đoán, xác nhận các tín hiệu quan trọng và quyết định cách phản hồi.
Kiểm soát chi phí và thực tế hoạt động
Một lợi thế thực tế khác: chi phí và tính linh hoạt.
Nếu bạn neo giữ SOC Trong mô hình ưu tiên EDR, bạn bị ràng buộc với giấy phép và hệ sinh thái của nhà cung cấp đó. Muốn thay đổi EDR? Bạn có nguy cơ phá vỡ cốt lõi của hệ thống SecOps của mình. Đó là lý do tại sao nhiều nhà cung cấp mua lại thay vì tự phát triển NDR hoặc SIEM—Họ đang cố gắng ghép các mảnh còn thiếu mà không từ bỏ quyền kiểm soát điểm neo cuối cùng.
Ngược lại, SIEM + Cốt lõi của NDR là không phụ thuộc vào nhà cung cấp điểm cuốiBạn có thể sử dụng CrowdStrike hôm nay, chuyển sang Microsoft vào ngày mai, hoặc hỗ trợ nhiều hệ thống EDR khác nhau trên các công ty con. SOC Các quy trình làm việc, bảng điều khiển và sự tương quan AI không bị gián đoạn. Và vì việc thu thập nhật ký và mạng có khả năng mở rộng hiệu quả hơn so với việc triển khai các tác nhân điểm cuối mới ở khắp mọi nơi, bạn thường tiết kiệm được cả chi phí cấp phép và chi phí vận hành.
Một câu chuyện từ thực địa
Gần đây, một quản lý SecOps đã chia sẻ kinh nghiệm của họ với chúng tôi. Họ bắt đầu với một nền tảng tập trung vào EDR vì nó có vẻ dễ dàng nhất. Theo thời gian, họ nhận ra rằng các nhà phân tích của mình vẫn đang loay hoay với những vấn đề tiềm ẩn - cảnh báo không có xác thực mạng, mốc thời gian sự cố không đầy đủ và các cuộc tấn công bỏ sót thông tin xác thực.
Khi họ chuyển sang Stellar Cyber's SIEM + Với nền tảng NDR, việc giữ nguyên EDR hiện có đã mang lại sự thay đổi tức thì. Các cảnh báo trở nên chi tiết hơn vì bằng chứng mạng và ngữ cảnh nhật ký bao quanh mọi sự kiện trên thiết bị đầu cuối. Các nhà phân tích tin tưởng vào các sự cố mà họ xử lý, thời gian phân loại giảm hơn một nửa, và ban lãnh đạo cuối cùng đã thấy được tiềm năng của sự thay đổi. hiệu quả chi phí họ đã được hứa hẹn.
Đó là loại thay đổi hoạt động mà bạn chỉ có thể đạt được khi cốt lõi được xây dựng để thống nhất trên diện rộng, chứ không phải hẹp.
Con đường phía trước
Cuộc tranh luận giữa EDR + SIEM + bất kỳ NDR nào và SIEM + NDR + bất kỳ EDR nào không chỉ là ngữ nghĩa. Nó là về bạn bắt đầu từ đâu, bạn dựa vào điều gì và tương lai của bạn linh hoạt như thế nào.
Chiến lược ưu tiên điểm cuối giúp bạn gắn chặt với một ống kính duy nhất. Chiến lược ưu tiên nhật ký và mạng mở rộng phạm vi và cho phép bạn thêm bất kỳ ống kính điểm cuối nào bạn chọn. Đó là nền tảng cho tự động hóa được tăng cường bởi con người SOC—nơi AI mở rộng năng lực SecOps của bạn và con người kiểm soát khả năng phán đoán và chiến lược.
Cuối cùng, những mối đe dọa đáng sợ nhất không chỉ tồn tại ở các thiết bị đầu cuối. Chúng lan rộng khắp nhật ký, gói dữ liệu và danh tính. Hãy xây dựng hệ thống của bạn... SOC Nắm bắt được sự thật đó, bạn sẽ không chỉ ngăn chặn các mối đe dọa nhanh hơn mà còn đạt được mục tiêu đó với khả năng kiểm soát chi phí, tính linh hoạt và quyền tự chủ mà doanh nghiệp của bạn yêu cầu.
