现在,大家都知道了 SIEM 市场正经历前所未有的整合,导致许多安全团队重新评估他们目前的策略。 SIEM 产品。话虽如此,没有哪个用户群体比当前的 IBM QRadar 本地部署版用户群体承受着更大的混乱影响。 SIEM 用户。这群客户就像一个三垒手,合同在年底到期,却在全明星赛间歇期(对于所有非MLB球迷来说,这大约是162场常规赛的中期)得知管理层不会续约。虽然实际上,没有哪个MLB球队管理层会这么做,因为这可能会影响球员本赛季剩余比赛的表现,但这正是IBM向其QRadar本地部署客户群传达的信息。
所以,这位虚构的三垒手现在有两个选择:要么在合同剩余时间内只做最低限度的工作,然后寄希望于明年有人愿意签下他;要么竭尽全力提升自己的数据,这不仅能帮助他目前的球队,还能让他对其他经理更有吸引力。对于 QRadar 本地部署用户来说,好消息是他们无需在击球笼里花费额外的时间,也无需在健身房里多做几组训练。所有供应商都…… SIEM 市场很乐意说服他们看看他们的 SIEM 的产品。
不幸的是,大多数 SIEM 供应商只提供云端产品,因此,如果您需要保留本地部署(请参阅我上周的博客,了解本地部署对某些组织来说可能是正确的选择的一些合理原因),那么可供选择的方案就非常有限了。 SIEM 选择余地正在迅速减少。我想你现在肯定已经猜到了,没错,Stellar Cyber 是为数不多的几家之一。 SIEM/XDR/安全运营平台供应商,其平台可部署在本地、通过云交付或由托管服务提供商 (MSSP) 管理(或共同管理)。自从 Palo Alto Networks 收购 IBM QRadar Cloud 的消息传出以来,这一领域发生了显著变化。 SIEM 我们已经与许多现有的 QRadar 本地部署客户探讨了迁移到 Stellar Cyber 平台的事宜。以下是 QRadar 本地部署客户评估 Stellar Cyber 的五大理由:
我们不仅仅是“一个 SIEM=
让我们面对现实吧:有很多 SIEM 市面上很多产品除了少数花哨的功能外,提供的安全功能都大同小异。如果安全团队只是想复制现有功能,这当然没问题。但如果要进行升级,既然有更多选择,为什么还要选择功能单一的产品呢?Stellar Cyber 包含许多普通安全产品所不具备的安全功能。 SIEM 默认情况下不包含这些功能。虽然您可以额外付费添加其中一些功能,但 Stellar Cyber 以单一许可证、单一价格模式包含您在下方看到的所有功能。在与这些客户的交流中,许多客户将迁移到 Stellar Cyber 视为一种整合其安全架构中其他产品的方式。(也就是化腐朽为神奇)
我们的威胁检测和机器学习进入新阶段
当你想到的 SIEM你首先想到的最显著的缺点是什么?如果你和大多数人一样,你可能会想到需要定期创建数十条检测和关联规则,并管理已使用的规则,以确保从中获得一些价值。 SIEM 投资。我们交谈过的许多 QRadar 客户都看到了我们的 SIEM 该平台的一大优势在于,它无需用户自行管理和创建关联规则。在 Stellar Cyber 中,我们采用多模式威胁检测方法,结合我们提供的精选关联规则和我们专门构建的 AI/ML 模型来检测威胁。用户也可以选择使用我们集成的威胁狩猎模块来创建规则。
我们还使用图形机器学习来关联威胁并显示所有相关资产、用户、文件等之间的关系。
虽然在情景喜剧中手动进行这种分析可能很有趣,但在现实生活中它却是许多安全分析师的祸根。
KISS
在我职业生涯的早期,我认为我写的任何东西都必须很长。在我看来,越多越好。后来有一天,我的一个老板告诉我,“你是个好作家,但现在回去把你写的东西删减一半吧。”我被冒犯了;我怎么能扔掉我写的东西呢?那是“黄金”。然后,我勉强开始把它分割开来。果然,完成后,我将内容减半,没有丢失任何重要的东西。从那时起,我一直试图让事情保持简单。
如果不需要某些功能,我们就会将其删除。如果用户有更直接的方式来访问平台中的功能,我们就会这样做。当 QRadar 本地客户看到我们的产品时,他们通常会将易用性作为他们考虑转向 Stellar Cyber 的主要原因。
猎杀红色十月
我最喜欢的电影之一是《猎杀红色十月》。如果你不熟悉这部电影(剧透警告),这里有一个简短的概要(感谢 ChatGPT):
《猎杀红色十月号》是一部扣人心弦的冷战电影,讲述了苏联潜艇艇长马可·拉米乌斯驾驶先进潜艇叛逃美国的故事。中央情报局分析师杰克·瑞恩必须让美国人相信拉米乌斯的意图,同时躲避苏联人,因为他们一心想击沉这艘叛变的潜艇。
在电影中,杰克·瑞恩通过情报报告和卫星图像发现了苏联潜艇。他分析了这些信息,并推测拉米乌斯上尉打算叛逃,而不是发动攻击。所以,杰克的追捕能力最终挽救了局面。在网络安全领域,威胁追捕通常被认为是团队“必备”的专业知识。然而,在 Stellar Cyber,我们在平台中加入了威胁追捕功能,几乎任何安全分析师都可以执行威胁追捕任务。当与 QRadar 本地用户讨论这一嵌入式功能时,他们很有兴趣在不增加资源的情况下将其添加到他们的团队中。
我将把我的带到现场
最后但同样重要的是,当 QRadar 本地用户了解到 Stellar Cyber 可以在云端、本地或由 MSSP 共同管理(或完全管理)时,他们的兴趣水平会上升到 11
供应商很少会做出战略决策来同时支持其产品的 SaaS 和本地版本。许多供应商根本无法投入所需的时间和资源来提供提供相同结果的本地和 SaaS 版本的产品,因此他们只选择 SaaS。您可以说我们很奇怪,但在 Stellar Cyber,我们认识到安全团队通常必须部署在本地,但通常没有产品或想办法制作满足其需求的 SaaS 版本产品。供应商应该让安全团队的工作更轻松,而不是更困难,那么为什么要让他们费尽心机来使我们的产品发挥作用呢?因此,如果您需要部署在本地,我们可以满足您的要求。另外,如果您将来想迁移到云,您可以使用 Stellar Cyber 轻松实现这一点,这是许多供应商无法提供的。
关闭的思考
网络安全格局的变化是不可避免的,但供应商很少会像当前的 IBM QRadar 本地用户那样让客户群处于如此尴尬的境地。如果您是这些客户之一, 今天联系我们 并安排一次私人咨询,届时我们将向您展示 Stellar Cyber 如何达到甚至超越您目前从本地部署的 QRadar 所获得的效果。 SIEM.
