Trong vài tháng qua, XDR từ viết tắt đang được sử dụng bởi hầu hết mọi nhà sản xuất sản phẩm bảo mật. Nói rằng bạn có nó là một điều, nhưng công việc khó khăn để xây dựng các phát hiện cần phải có năm. Nói rằng bạn có một nền tảng dữ liệu lớn là chưa đủ để bạn có thể đổ mọi thứ vào đó và tìm kiếm; bạn cần những phát hiện có thể hành động dẫn đến các mối tương quan có ý nghĩa. Đây là hai điều quan trọng cần xem xét khi bạn xem xét XDR.
Chuẩn hóa dữ liệu - Để có được khả năng hiển thị đầy đủ, điều đầu tiên bạn cần xem xét là bản thân dữ liệu. Mỗi sản phẩm bảo mật có một cách khác nhau để trình bày nhật ký và cảnh báo của nó. Các giải pháp mạng, công cụ bảo mật điểm cuối, tường lửa, công cụ nhận dạng, công cụ bảo mật đám mây và nhiều giải pháp khác đều có định dạng và tần suất cảnh báo riêng. Mỗi SIEM công cụ có thể lưu trữ nhật ký từ các thiết bị này - đó là một phần dễ dàng.
Vấn đề là việc tạo ra các quy tắc phức tạp, đa chiều để bắt kịp với tốc độ tấn công hiện nay là gần như không thể. Ví dụ: trên IDS, bạn có thể thấy hơn một triệu cảnh báo mỗi ngày. Quy tắc Suricata có thể lọc ra 200,000 lỗ hổng bảo mật đã biết, nhưng từ đó bạn thường phải tạo ra một loạt quy tắc dựa trên kiến thức của bạn về môi trường của khách hàng.
Đây là lĩnh vực mà việc tận dụng học máy (ML) trên dữ liệu IDS có thể giảm đáng kể số lượng cảnh báo xuống còn một số ít cảnh báo có thể quản lý được. Thay vì viết các quy tắc để phát hiện các mối đe dọa, bạn có thể tận dụng ML để xác định hành vi bình thường trên mạng đó. Khách hàng thường đăng nhập vào lúc nào? Họ đăng nhập từ đâu? Họ thường đăng nhập trong bao lâu? Thay vì 200,000 cảnh báo, các phát hiện bằng ML có thể giảm con số đó xuống còn một vài. Việc xem thông tin này được đối chiếu trên tất cả các công cụ bảo mật của bạn sẽ nhanh hơn và dễ dàng hơn đáng kể. SOC Nhà phân tích để quản lý.
Tích hợp mở - Ngoài ra, hãy đảm bảo rằng XDR nền tảng bạn đang xem xét là mở. Khi công nghệ bảo mật thay đổi nhanh chóng trong vài năm tới, các nền tảng này sẽ giúp bạn tránh bị nhà cung cấp khóa. Điều này sẽ giúp bạn duy trì khả năng điều chỉnh theo bối cảnh an ninh mạng đang thay đổi và nhu cầu của khách hàng.
Tại Stellar Cyber - chúng tôi nghĩ một API hoặc Open XDR là con đường tốt nhất để tiến về phía trước – bất kể bạn đến từ đâu và bạn sử dụng công cụ hiện có nào cũng như bất kể bạn muốn đi đến đâu xét về mức độ trưởng thành của bảo mật. Đối với chúng tôi, điều này có nghĩa là chúng tôi giúp soạn thảo một chiến lược mà họ làm việc cho bạn với tư cách là một doanh nghiệp hoặc khách hàng của bạn với tư cách là một MSSP, tận dụng các khoản đầu tư mà cả hai bạn đã thực hiện. Liên hệ với tôi để thảo luận sôi nổi: salinas@stellarcyber.ai
