Bên trong đường ống dữ liệu của Stellar Cyber: Công cụ ẩn đằng sau bảo mật thông minh hơn

By /

Bảo mật dựa trên AI, An ninh mạng, Công nghệ thông tin, MSSP, An ninh mạng, Open XDR, Open XDR Nền tảng

Báo cáo tóm tắt

hiện đại SOCHệ thống đang bị choáng ngợp bởi khối lượng và độ phức tạp của dữ liệu. Khả năng lọc, chuẩn hóa, làm giàu và định tuyến dữ liệu bảo mật ở quy mô lớn mà không làm giảm độ chính xác ảnh hưởng trực tiếp đến độ chính xác phát hiện, hiệu quả của nhà phân tích và tư thế tuân thủ. Với sự hiểu biết đầy đủ về tầm quan trọng của những thách thức dữ liệu và nhu cầu về khả năng này, đường dẫn dữ liệu của Stellar Cyber ​​không phải là một tiện ích bổ sung mà là một khả năng cốt lõi của chúng tôi. Nền tảng SecOps do AI điều khiển ngay từ đầu. Sách trắng này phác thảo nền tảng kỹ thuật của hệ thống Stellar Cyber ​​và cách kiến ​​trúc độc đáo của hệ thống này giúp các nhóm bảo mật thống nhất nguồn dữ liệu, giảm thiểu nhiễu và đẩy nhanh phản ứng sự cố.

Giới thiệu: Vượt ra ngoài đường ống dữ liệu

Trong khi một số sản phẩm khác chỉ tập trung vào việc thu thập và di chuyển dữ liệu, Stellar Cyber ​​tích hợp một nền tảng vận hành bảo mật toàn diện với một đường ống dữ liệu được thiết kế chuyên sâu làm cốt lõi. Đường ống này không chỉ thu thập và vận chuyển dữ liệu; nó còn chuyển đổi dữ liệu thông qua một quy trình nhiều bước. lọc, chuẩn hóa, làm giàu, liên kết và định tuyến nó vào bộ lưu trữ thích hợp để phát hiện và phản hồi quy trình làm việc và để sao lưu bộ lưu trữ như S3. Điều này cho phép khả năng hiển thị, phát hiện và hành động thực sự từ đầu đến cuối.

Các nguyên tắc cốt lõi của Đường ống dữ liệu mạng Stellar

Để cung cấp khả năng hiển thị toàn diện trên toàn bộ bề mặt tấn công của một tổ chức, giải pháp của Stellar Cyber ​​cung cấp nhiều phương pháp thu thập dữ liệu. Nó có thể thu thập nhật ký và dữ liệu đo từ xa mạng thông qua các cảm biến mô-đun phân tán, tích hợp với nhiều ứng dụng thông qua API gốc của chúng và triển khai máy chủ. cảm biến để thu thập dữ liệu từ cả máy chủ Linux và Windows.

1. Lọc lưu lượng tại Edge

Không giống như các công cụ chỉ lọc tại điểm tiếp nhận ở vị trí trung tâm, các cảm biến của Stellar Cyber ​​áp dụng bộ lọc lưu lượng và ứng dụng trước khi dữ liệu rời khỏi nguồn. Các sự kiện đến đường truyền sẽ được xử lý ngay lập tức bởi các Forwarder tiên tiến. Chúng áp dụng các quy tắc lọc chi tiết ở quy mô lớn để chỉ giữ lại dữ liệu cần thiết cho việc tuân thủ, phát hiện hoặc phân tích. Quá trình lọc trước khi tiếp nhận này:
  • Loại bỏ sớm các sự kiện không liên quan (giảm tiếng ồn ở rìa).
  • Giảm yêu cầu về băng thông và lưu trữ bằng cách loại bỏ các bản ghi không quan trọng ngay từ đầu.
  • Cung cấp tính linh hoạt bằng cách hỗ trợ lọc theo chính sách dựa trên loại ứng dụng, cổng, giao thức hoặc quy tắc tùy chỉnh.

2. Chuẩn hóa trên nhiều nguồn khác nhau

Công cụ chuẩn hóa Interflow chuẩn hóa các định dạng và lược đồ nhật ký từ nhiều nguồn khác nhau. Điều này cho phép:

  • Phát hiện tự động thông qua Học máy hoặc quy tắc
  • Tự động liên hệ các cảnh báo riêng lẻ vào các trường hợp thông qua các hiện vật được chuẩn hóa.
  • Làm giàu nhất quán cho ngữ cảnh hóa
  • Phân tích nhanh chóng mà không cần phân tích cú pháp nhiều lần.
  • Bảng thông tin, báo cáo và điều tra chính xác, dễ hiểu.

3. Làm giàu ngữ cảnh theo thời gian thực khi tiếp nhận

Khi dữ liệu chảy vào Stellar Cyber Open XDR nền tảng này được làm giàu trực tuyến theo thời gian thực – không phải sau khi tiếp nhận – cung cấp dữ liệu đo từ xa ngữ cảnh cao để thúc đẩy phát hiện và phản hồi nhanh chóng, chính xác.

Các khía cạnh làm giàu chính bao gồm:
  • Tra cứu GeoIP & ASN: Ngay lập tức thêm dữ liệu quốc gia, thành phố và hệ thống tự trị vào mọi sự kiện có IP.
  • Thông tin về mối đe dọa theo thời gian thực: Tương quan với nhiều nguồn cấp dữ liệu tình báo về mối đe dọa (thương mại, mã nguồn mở và do khách hàng xác định), áp dụng tính điểm rủi ro theo thời gian thực.
  • Giải quyết người dùng và thực thể: Ánh xạ nhật ký và lưu lượng truy cập vào danh tính của con người và máy móc thông qua Active Directory, Okta, hệ thống IAM và kho tài sản.
  • Nhận dạng ứng dụng: Công cụ Kiểm tra gói tin sâu (DPI) và dấu vân tay ứng dụng giúp tăng cường độ rõ ràng của sự kiện vượt ra ngoài phương pháp tìm kiếm dựa trên cổng.
  • Gắn thẻ tùy chỉnh và chèn ngữ cảnh: Người quản trị có thể đưa bối cảnh cụ thể của doanh nghiệp (ví dụ: mức độ quan trọng của tài sản, chức năng, vùng tuân thủ) vào luồng dữ liệu.
Sự làm giàu chuyên sâu, trực tuyến này đảm bảo rằng mọi cảnh báo và cuộc điều tra đều bắt đầu bằng bối cảnh phong phú, có thể thực hiện được như ở đâu, khi nào, ai, cái gì – giảm thiểu thời gian phân loại, nâng cao độ chính xác phát hiện và cho phép phân tích nguyên nhân gốc rễ nhanh hơn.

4. Che giấu và Biên tập PII/PHI

Quy trình này bao gồm các bộ lọc dựa trên regex và các tính năng che dấu để tự động xóa các trường nhạy cảm như thông tin nhận dạng cá nhân hoặc thông tin sức khỏe được bảo vệ. Điều này giúp các tổ chức đáp ứng các yêu cầu quy định trong khi vẫn tận dụng dữ liệu cho phân tích bảo mật.

5. Định tuyến và ghép kênh

Với cấu hình định tuyến, các sự kiện được làm giàu có thể được gửi đến nhiều đích cùng một lúc (SIEM(bao gồm bất kỳ kho dữ liệu tương thích S3 nào hoặc Snowflake, hệ thống quản lý vé hoặc cụm phân tích). Điều này cho phép các nhóm:
  • Tránh bị nhà cung cấp khóa chặt.
  • Đáp ứng nhiều nhu cầu lưu trữ, tuân thủ hoặc phân tích khác nhau.
  • Cung cấp dữ liệu cho các nhóm hoặc công cụ riêng biệt mà không cần phải thực hiện nhiều nỗ lực thu thập.

6. Phát hiện bất thường và loại bỏ trùng lặp theo thời gian thực

Các mô-đun phát hiện bất thường nội tuyến và học máy sau khi tiếp nhận sẽ xác định các giá trị ngoại lệ khi dữ liệu đến. Việc loại bỏ trùng lặp và tổng hợp giúp giảm thêm khối lượng dữ liệu mà không làm giảm độ trung thực, lý tưởng cho các môi trường EPS cao, nhiều terabyte/ngày.

7. Kiến trúc MSSP đa thuê bao

Ngay từ khi thành lập, Stellar Cyber ​​đã tích hợp khả năng đa thuê bao vào nền tảng của mình. Các MSSP có thể quản lý nhiều khách hàng một cách an toàn với khả năng cô lập dữ liệu hoàn toàn, nhiều tùy chọn lưu trữ, thời hạn lưu giữ, chính sách và báo cáo khác nhau, v.v. Điều này mang lại cho các MSSP quyền kiểm soát để cung cấp các tùy chọn khác nhau nhằm đáp ứng nhu cầu của khách hàng.

8. Tích hợp nền tảng gốc

Đường ống này là một phần của kiến ​​trúc gốc của Stellar Cyber, không có bất kỳ sự bổ sung hay phụ thuộc nào từ bên thứ ba. Điều này đảm bảo:
  • Độ trễ thấp hơn.
  • Cập nhật nhanh hơn và khả năng mở rộng.
  • Tư thế tuân thủ và bảo mật nhất quán
  • Vòng phản hồi tức thời giữa quá trình xử lý hậu kỳ và công cụ dữ liệu.

9. Tính linh hoạt trong việc di chuyển dữ liệu

Stellar Cyber ​​hỗ trợ quá trình chuyển đổi từ hệ thống cũ. SIEMKết nối với các kho dữ liệu hoặc nền tảng phân tích mới bằng cách sử dụng các trình kết nối và cấu hình định tuyến, duy trì tính liên tục và tránh các dự án thay thế tốn kém.

Khả năng mở rộng và độ trưởng thành

Kiến trúc đường ống của Stellar Cyber ​​đã được chứng minh qua các đợt triển khai toàn cầu, hàng chục terabyte/ngày. Khách hàng thường xuyên mở rộng quy mô lên hàng chục nghìn điểm cuối và hàng chục nguồn dữ liệu mà không gặp bất kỳ trở ngại nào. Độ hoàn thiện của nền tảng cho phép các nhóm bảo mật triển khai nhanh chóng, tích hợp rộng rãi và tin tưởng vào đường ống trong quá trình vận hành.

Tại sao đường ống dữ liệu của Stellar Cyber ​​lại quan trọng

Vì quy trình được nhúng trong Nền tảng SecOps do AI điều khiển, các nhà phân tích không chỉ nhận được dữ liệu sạch mà còn có khả năng phát hiện, điều tra và phản hồi tự động, tất cả đều được điều khiển từ một môi trường thống nhất duy nhất. Điều này có nghĩa là:
  • MTTR nhanh hơn.
  • Hiệu quả phân tích cao hơn.
  • Giảm chi phí cơ sở hạ tầng.
  • Có thể quan sát toàn diện từ khâu tiếp nhận đến khâu khắc phục.

Kết luận

Hệ thống xử lý dữ liệu của Stellar Cyber ​​không chỉ đơn thuần là cơ chế vận chuyển; nó là xương sống của một nền tảng vận hành an ninh thống nhất, được hỗ trợ bởi trí tuệ nhân tạo. Bằng cách lọc dữ liệu tại nguồn, chuẩn hóa trên nhiều nguồn cấp dữ liệu khác nhau, làm giàu dữ liệu bằng ngữ cảnh và định tuyến dữ liệu một cách linh hoạt, Stellar Cyber ​​giúp... SOC giúp các nhóm hoạt động ở quy mô lớn, loại bỏ nhiễu thông tin và phản ứng nhanh hơn trước các mối đe dọa.

bài viết liên quan

Di chuyển về đầu trang
Đăng ký Bản tin