通用 EDR 的技术方法

对于安全供应商和那些在 XDR 市场特别,有一个构建与集成的架构轴。 一方面,你有 “建立/获取一切” – 垂直集成并希望成为企业整个安全堆栈的供应商。 在另一端,你有 “与一切融为一体” – 构建单个组件或 API 的供应商意味着要拼凑到更大的架构中。 两种方法各有利弊。 “构建/获取一切”阵营可以将所有组件紧密连接在一起,以创造一种有凝聚力的安全体验,但他们这样做是以牺牲专注为代价的,而且可能不会是同类中最好的。 “与一切集成”阵营陶醉于他们提供的重点,可以在最小范围内构建出色的产品,但需要特定的买家将它们分层到他们更广泛的安全产品组合中。

在 Stellar Cyber​​,我们采取了处于这个架构轴中间某个位置的方法——内置功能之间的平衡(特别是 NDR, SIEM, 小提示,并 XDR 人工智能引擎) 和我们集成的功能。 我们集成的最重要的产品类别之一是 EDR。 我们最近宣布了 业界首款通用 EDR,这是将任何 EDR 或 EDR 带到我们平台的能力,我们不仅支持它们,而且无论 EDR 选择如何,我们都会在确保一定程度的保真度的同时使它们变得更好。 换句话说,它使用户能够充分利用内置和集成方法——它提供了一个 通用 EDR 集成 被集成的产品是如此紧密地集成,以至于它的行为就好像它是平台的原生部分,但平台仍然是开放的。

我们在开发此功能时遇到的最大技术挑战之一是如何始终如一地生成高保真警报,而不管 EDR 供应商如何。 我们将我们的技术方法描述为 “警报途径” 或者从源 EDR 数据到 Stellar Cyber​​ 中的高保真警报所需的处理技术。 每一个 EDR 是不同的,这是需要开发一个框架来有效处理每个 EDR 的基础。

下面描述的框架和警报路径是在 Stellar Cyber​​ Open XDR 平台.

 

警报途径 1——“通过强化”

“Passthrough Enrichment”技术从源 EDR 系统获取警报,然后使用额外的威胁情报丰富这些警报,并将它们与 MITRE ATT&CK 对齐。 从某种意义上说,这就像在重新报道新闻后添加一些额外的上下文,但如果源 EDR 中的某些特定警报具有最高保真度,则可能非常有效。 然而,在我们的研究中,这种方法最多只能部分适用于任何给定的 EDR。

“Passthrough Enrichment”技术需要 警报 从来源 EDR 系统,然后使用额外的威胁情报丰富这些警报,并将它们与 斜接. 从某种意义上说,这就像在重新报道新闻后添加一些额外的上下文,但如果源中的某些特定警报可能非常有效 EDR 具有最高的保真度。 然而,在我们的研究中,这种方法最多只能部分适用于任何给定的 EDR.

 

警报途径 2 - “重复数据删除”

“重复数据删除”技术应用机器学习来识别源 EDR 警报 重复且可能是同一活动的一部分,并在 Stellar Cyber​​ 中生成单个警报以提高自动化和分析师绩效。

 

警报途径 3——“基于事件的机器学习”

“基于事件的机器学习”技术在技术上最具挑战性,因为所有源 EDR 事件和警报 通过不同的机器学习警报模型进行处理,这些模型在 Stellar Cyber​​ 中生成新的警报。 这需要大量的数据研究和强大的标准化流程才能在 EDR 供应商之间实现。

 

我们的通用 EDR 方法

我们设计此框架的指导原则是最终用户的安全结果。 由于没有相同的 EDR,这意味着我们将不同的警报路径应用于不同 EDR 产品的警报和事件的不同子集。 例如,EDR 1 可能有 10% 的直通、50% 的重复数据删除和 40% 的基于事件的机器学习,而对于 EDR 2,这些比率可能分别为 0%、80% 和 20%。

对于一家不建立内部 EDR 的公司,我们发现自己处于基于端点的安全研究的前沿。 这对前沿本身来说是令人兴奋的,但最重要的是因为它对我们的客户意味着什么。 还有很多工作要做,如果您有兴趣加入我们才华横溢的安全或工程团队,请查看我们的 职位空缺.