Đối với các nhà cung cấp bảo mật và những người trong XDR thị trường cụ thể, có một trục kiến trúc xây dựng so với tích hợp. Ở một đầu, bạn có “Xây dựng / Có được mọi thứ” - các nhà cung cấp được tích hợp theo chiều dọc và muốn trở thành toàn bộ ngăn xếp bảo mật của doanh nghiệp. Ở phía bên kia, bạn có “Tích hợp với mọi thứ” - các nhà cung cấp xây dựng một thành phần hoặc API đơn lẻ có nghĩa là được ghép vào một kiến trúc lớn hơn. Có những ưu và khuyết điểm cho cả hai cách tiếp cận. Trại “Xây dựng / Có được mọi thứ” có thể kết nối chặt chẽ tất cả các thành phần lại với nhau để tạo ra trải nghiệm bảo mật gắn kết, nhưng chúng làm như vậy với chi phí phải tập trung và có thể sẽ không phải là giống tốt nhất. Trại “Tích hợp với mọi thứ” tập trung vào khả năng chi trả của họ và có thể tạo ra một sản phẩm tuyệt vời với phạm vi tối thiểu, nhưng yêu cầu một người mua nhất định xếp chúng vào danh mục bảo mật rộng lớn hơn của họ.
Tại Stellar Cyber, chúng tôi áp dụng cách tiếp cận là ở đâu đó ở giữa trục kiến trúc này - sự cân bằng giữa các khả năng được tích hợp sẵn (đáng chú ý là NDR, SIEM, TIP, và XDR Công cụ AI) và các khả năng mà chúng tôi tích hợp. Một trong những lớp sản phẩm quan trọng nhất mà chúng tôi tích hợp là EDR. Gần đây chúng tôi đã công bố EDR phổ quát đầu tiên của ngành, đó là khả năng mang bất kỳ EDR hoặc EDR nào vào nền tảng của chúng tôi và chúng tôi không chỉ hỗ trợ chúng mà còn làm cho chúng tốt hơn trong khi đảm bảo mức độ trung thực bất kể lựa chọn EDR. Nói cách khác, nó cho phép người dùng tận dụng tốt nhất các phương pháp tiếp cận tích hợp và tích hợp - nó cung cấp Tích hợp EDR toàn cầu trong đó sản phẩm được tích hợp được tích hợp chặt chẽ đến mức nó hoạt động như thể nó là một phần gốc của nền tảng, nhưng nền tảng vẫn mở.
Một trong những thách thức kỹ thuật lớn nhất mà chúng tôi gặp phải khi phát triển khả năng này là làm thế nào để tạo ra các cảnh báo có độ trung thực cao một cách nhất quán bất kể nhà cung cấp EDR là gì. Chúng tôi mô tả cách tiếp cận kỹ thuật của mình là “Đường dẫn thông báo” hoặc các kỹ thuật xử lý cần thiết để chuyển từ dữ liệu EDR nguồn sang cảnh báo có độ trung thực cao trong Stellar Cyber. Mỗi BDU là khác nhau, đó là cơ sở để cần phát triển một khuôn khổ để xử lý mỗi EDR một cách hiệu quả.
Khung và Đường dẫn cảnh báo được mô tả bên dưới là các tính năng phụ trợ sẵn có trong sao điện tử Open XDR Nền tảng.
Lộ trình thông báo 1 - “Tăng cường khả năng chuyển hóa”
Kỹ thuật “Làm giàu thông qua” có cảnh báo từ nguồn Hệ thống EDR, sau đó làm phong phú thêm các cảnh báo đó với thông tin về mối đe dọa bổ sung và điều chỉnh chúng theo MITER ATT & CK. Theo một nghĩa nào đó, điều này giống như thêm một số ngữ cảnh bổ sung sau khi báo cáo lại tin tức, nhưng có thể có hiệu quả cao nếu một số cảnh báo cụ thể trong nguồn BDU có độ trung thực cao nhất. Tuy nhiên, trong nghiên cứu của chúng tôi, cách tiếp cận này tốt nhất chỉ áp dụng một phần cho bất kỳ BDU.
Lộ trình cảnh báo 2 - “Trùng lặp”
Kỹ thuật "Deduplication" áp dụng Học máy để xác định EDR nguồn cảnh báo trùng lặp và có khả năng là một phần của cùng một hoạt động và tạo một cảnh báo duy nhất trong Stellar Cyber để cải thiện hiệu suất tự động hóa và nhà phân tích.
Lộ trình thông báo 3 - “Dựa trên sự kiện học máy”
Kỹ thuật “Học máy dựa trên sự kiện” là thách thức kỹ thuật nhất vì tất cả EDR nguồn sự kiện và cảnh báo được xử lý thông qua các mô hình cảnh báo ML khác nhau tạo ra các cảnh báo mới trong Stellar Cyber. Điều này yêu cầu nghiên cứu dữ liệu quan trọng và một quy trình chuẩn hóa mạnh mẽ để thực hiện trên các nhà cung cấp EDR.
Phương pháp tiếp cận của chúng tôi đối với EDR phổ quát
Nguyên tắc hướng dẫn của chúng tôi để thiết kế khung này là kết quả bảo mật cho người dùng cuối. Vì không EDR nào giống nhau, điều này có nghĩa là chúng tôi áp dụng các Đường dẫn cảnh báo khác nhau cho các tập hợp con cảnh báo và sự kiện khác nhau trên các sản phẩm EDR khác nhau. Ví dụ: EDR 1 có thể có 10% Passthrough, 50% Deduplication và 40% Machine Learning dựa trên sự kiện, trong khi đối với EDR 2, các tỷ lệ đó có thể là 0%, 80% và 20% tương ứng.
Đối với một công ty không xây dựng EDR nội bộ, chúng tôi nhận thấy mình đang ở rìa chảy máu của nghiên cứu bảo mật dựa trên điểm cuối. Điều này thực sự thú vị đối với chính biên giới, nhưng quan trọng nhất là vì nó có ý nghĩa như thế nào đối với khách hàng của chúng tôi. Còn rất nhiều việc phải làm và nếu bạn muốn tham gia nhóm kỹ sư hoặc bảo mật tài năng của chúng tôi, vui lòng xem cơ hội việc làm.
