Stellar Cyber​​ 数据管道内部:智能安全背后的隐藏引擎

By /

人工智能驱动的安全性, 网络安全, IT技术, MSSP, 网络安全, 开启XDR, 开放式XDR平台

执行摘要

现代 SOC 面临着数据量和复杂性的双重压力。能否在不损失保真度的情况下,大规模地过滤、规范化、丰富和路由安全数据,直接影响着检测的准确性、分析师的效率和合规性。Stellar Cyber​​ 充分理解数据挑战的重要性以及对此类能力的需求,因此其数据管道并非附加功能,而是我们的核心能力。 人工智能驱动的 SecOps 平台 从一开始就。本白皮书概述了 Stellar Cyber​​ 管道的技术基础,以及其独特的架构如何帮助安全团队统一数据源、减少噪音并加速事件响应。

简介:超越数据管道

有些产品只专注于收集和移动数据,而 Stellar Cyber​​ 则将完整的安全运营平台与深度设计的数据管道集成在一起。该管道不仅用于提取和传输数据,还通过多步骤流程对数据进行转换。它 过滤、规范化、丰富、关联并将其路由到适当的存储中,以用于检测和响应工作流以及备份存储(如 S3).这实现了真正的端到端可视性、检测和行动。

Stellar 网络数据管道的核心原则

为了在组织的整个攻击面上提供全面的可视性,Stellar Cyber​​ 的解决方案提供了多种数据收集方法。它可以通过分布式模块化传感器收集日志和网络遥测数据,通过原生 API 与众多应用程序集成,并部署服务器 传感器 从 Linux 和 Windows 服务器捕获数据。

1. 边缘流量过滤

与仅在中心位置的采集点进行过滤的工具不同,Stellar Cyber​​ 的传感器在数据离开源头之前就应用流量和应用程序过滤器。到达管道的事件会立即由高级转发器处理。它们会大规模应用细粒度的过滤规则,因此只保留合规性、检测或分析所需的数据。这种预采集过滤:
  • 尽早删除不相关的事件 (边缘降噪)。
  • 降低带宽和存储要求 通过预先丢弃非关键日志。
  • 通过支持策略驱动的过滤提供灵活性 基于应用程序类型、端口、协议或自定义规则。

2. 跨不同来源的标准化

Interflow 规范化引擎可对来自众多不同来源的日志格式和模式进行标准化。这可以实现:

  • 通过机器学习或规则进行自动检测
  • 通过标准化的工件自动将单个警报关联到案例中。
  • 持续丰富语境化内容
  • 快速下游分析,无需重复解析。
  • 准确、易于理解的仪表板、报告和调查。

3. 摄取时的实时上下文丰富

随着数据流入 Stellar Cyber 开启XDR 平台,它实时在线丰富——而不是事后摄取——提供高语境遥测,以推动快速、准确的检测和响应。

关键的丰富维度包括:
  • GeoIP 和 ASN 查找: 立即将国家、城市和自治系统数据添加到每个具有 IP 的事件中。
  • 实时威胁情报: 与多个威胁情报源(商业、开源和客户定义)相关联,应用实时风险评分。
  • 用户和实体解析: 通过 Active Directory、Okta、IAM 系统和资产清单将日志和流量映射到人和机器身份。
  • 应用程序标识: 深度包检测 (DPI) 引擎和应用程序指纹识别增强了基于端口的启发式方法的事件清晰度。
  • 自定义标记和上下文注入: 管理员可以将特定于业务的上下文(例如,资产关键性、功能、合规区域)注入数据流。
这种深度、内联的丰富功能可确保每个警报和调查都从丰富、可操作的背景开始,例如地点、时间、人物、事件,从而最大限度地减少分类时间、提高检测精度并加快根本原因分析的速度。

4. 屏蔽和 PII/PHI 编辑

该管道包含基于正则表达式的过滤器和屏蔽功能,可自动屏蔽敏感字段,例如个人身份信息或受保护的健康信息。这有助于组织满足监管要求,同时仍能利用数据进行安全分析。

5.路由和多路复用

借助路由配置文件,丰富的事件可以同时发送到多个目的地(SIEM、任何兼容 S3 的数据湖或 Snowflake、工单系统或分析集群)。这使得团队能够:
  • 避免供应商锁定。
  • 满足多样化的存储、合规性或分析需求。
  • 为不同的团队或工具提供信息,无需重复摄取工作。

6.实时异常检测和重复数据删除

内联异常检测和数据采集后机器学习模块可在数据到达时识别异常值。重复数据删除和聚合功能可在不牺牲保真度的情况下进一步减少数据量,非常适合高 EPS、每天处理数 TB 的数据环境。

7. 多租户 MSSP 架构

从一开始,Stellar Cyber​​ 就在其平台中内置了多租户功能。MSSP 可以通过完全隔离的数据、不同的存储选项、不同的保留期限、策略和报告等功能安全地管理多个客户。这使得 MSSP 能够提供不同的选项来满足客户的需求。

8. 原生平台集成

该管道是 Stellar Cyber​​ 原生架构的一部分,无需任何附加组件或第三方依赖。这确保了:
  • 更低的延迟。
  • 更快的更新和可扩展性。
  • 一致的安全和合规态势
  • 后期处理和数据引擎之间的即时反馈循环。

9.数据迁移灵活性

Stellar Cyber​​ 支持使用连接器和路由配置文件从传统 SIEM 迁移到新的数据湖或分析平台,从而保持连续性并避免昂贵的拆除和更换项目。

可扩展性和成熟度

Stellar Cyber​​ 的管道架构已在全球数 TB/天的部署中得到验证。客户可以定期扩展到数万个端点和数十个数据源,且不会遇到瓶颈。该平台的成熟度使安全团队能够快速部署、广泛集成,并在生产环境中获得信任。

为什么 Stellar Cyber​​ 的数据管道如此重要

由于该管道嵌入在 AI 驱动的 SecOps 平台中,分析师不仅可以获得干净的数据,还可以获得由单一统一环境驱动的自动检测、调查和响应。这意味着:
  • 更快的 MTTR。
  • 更高的分析师效率。
  • 降低基础设施成本。
  • 从摄入到修复的完全可见性。

结语

Stellar Cyber​​ 的数据管道不仅仅是一种传输机制,更是统一的、基于 AI 的安全运营平台的支柱。通过从源头进行过滤、跨不同数据源进行规范化、丰富上下文并灵活路由数据,Stellar Cyber​​ 使 SOC 团队能够大规模运营、消除干扰并更快地响应威胁。

相关文章

滚动到顶部
订阅新闻通讯