最初发布于
几乎所有供应商,从电子邮件网关公司到威胁情报平台开发商,都将自己定位为…… XDR 玩家。但不幸的是,周围的噪音。 XDR 这使得买家更难找到适合自己的解决方案,更重要的是,更难避免那些不符合他们需求的解决方案。
Stellar Cyber 提供 Open XDR 该解决方案允许组织在其安全架构中使用所需的任何安全工具,并将警报和日志传输到 Stellar Cyber。Stellar Cyber 的“开放式”方法意味着其平台可以与任何产品兼容。因此,安全团队可以进行更改,而无需担心 Stellar Cyber 是否能够正常工作。 Open XDR 平台仍可正常运行。
Stellar Cyber 通过提供通常在下一代网络安全 (NG) 中才有的功能,满足了精简型企业安全团队的需求。SIEM、NDR 和 SOAR 产品 Open XDR 该平台由单一许可证管理。这种整合使客户能够消除安全堆栈的复杂性。
Stellar Cyber 服务于所有主要行业的客户,客户遍及欧洲、亚洲、澳大利亚、日本、韩国和非洲,为超过 3 万资产提供安全保障。 此外,Stellar Cyber 在部署后声称,用户看到平均响应时间 (MTTR) 提高了 20 倍,这是一个大胆的声明。
从主页响应事件
登录 Stellar Cyber 后,初始屏幕是分析师主屏幕,显示诸如热门事件和风险最高资产等统计数据。该屏幕上一个有趣的部分是 Stellar Cyber 所称的…… Open XDR 攻击链。点击攻击链中的任何环节,例如“初始尝试”,即可显示与该攻击链部分相关的威胁。
例如,用户可以在 Stellar Cyber 自动设置的“初始尝试”阶段看到这些警报。 用户可以通过单击任何警报上的“查看”来查看有关警报的更多信息。 然后,向下滚动屏幕,用户可以单击“更多信息”超链接以查看有关所选警报的更多信息。
在这里,用户可以阅读有关事件的信息、查看详细信息,并查看此事件背后的原始数据和 JSON,如有必要,可将其复制到剪贴板。 此外,通过点击“Actions”按钮,用户可以看到其他强大的平台功能。
用户可以从此屏幕采取响应操作,例如“添加过滤器、触发电子邮件或采取外部操作。 单击外部操作会显示一个附加选项列表。 用户可以单击 Endpoint 以查看从包含主机到关闭主机的操作选项。
单击操作(例如包含主机)时,将显示一个配置对话框,用户可以在其中选择要使用的连接器、操作的目标以及启动所选操作所需的任何其他选项。 总之,安全分析师,尤其是初级安全分析师,会发现此工作流程非常有用,因为他们可以 a) 从主屏幕快速查看事件的详细信息,b) 通过深入数据查看更多详细信息,以及 c) 采取无需编写任何脚本或代码即可从此屏幕执行修复操作。
企业可以通过让新分析师使用此视图来帮助他们熟悉平台,处理低优先级事件,以便其他分析师可以处理更关键的事件,从而帮助他们入职。
探索事件
而不是点击 Open XDR 如果用户点击“事件”,则会显示以下屏幕。
当用户单击蓝色圆圈中的胡萝卜时,过滤列表使用户能够专注于特定类型的事件。 用户可以直接转到详细信息按钮以查看此详细信息视图中的内容。
用户可以看到此事件如何在多个资产中发生和传播。 此外,用户可以自动查看与事件相关的文件、流程、用户和服务。 因此,例如,用户可以切换到时间线视图以获取此事件的可读历史记录。
然后单击小“i”进入前面显示的详细信息屏幕。
总之,习惯于从警报列表工作的分析师可能喜欢从事件页面开始他们的调查。 此视图也很有用,因为它会在单个视图中自动显示与此事件相关的所有警报。
Stellar Cyber 中的威胁搜寻
用户可以从上面的屏幕启动威胁搜寻。 通过在搜索对话框中输入诸如“登录”之类的术语,屏幕上的统计数据会动态变化。 然后,向下滚动屏幕,用户可以看到根据搜索词过滤的警报列表。
用户可以在搜索对话框下创建“相关搜索”。
用户可以加载保存的查询或添加新查询。 单击添加查询,用户可以看到此查询生成器。 该构建器支持在 Stellar Cyber 数据存储中搜索未被注意到的威胁。 在这里,用户还可以访问威胁搜寻库。
最后,用户可以创建在查询返回匹配项时自动执行的响应操作。
总之,Stellar Cyber 提供了一个简单的威胁搜寻平台,不需要用户构建自己的 ELK 堆栈或成为强大的脚本编写者。 此功能是一种向安全团队添加威胁追踪元素的简单方法,无需聘请高级威胁追踪者。
结语
Stellar Cyber 是一个可靠的安全运营平台,具有许多可以帮助安全团队提高生产力的功能。 如果在市场上购买新 SecOps 平台 并且愿意(全部或部分)采用新的安全方法,值得看看 Stellar Cyber 提供什么。 要了解有关 Stellar Cyber 的更多信息,请尝试 5分钟产品导览.
