В последние несколько месяцев XDR акроним используется почти всеми производителями продуктов безопасности. Одно дело сказать, что он у вас есть, но тяжелая работа, которая требуется для создания детекторов, требует лет. Недостаточно сказать, что у вас есть платформа для работы с большими данными, на которую вы можете загружать данные и искать; вам нужны действенные обнаружения, которые приведут к значимым корреляциям. Вот два ключевых момента, на которые следует обратить внимание, когда вы смотрите на XDR.
Нормализация данных - Чтобы получить полную наглядность, первое, что вам нужно учитывать, - это сами данные. Каждый продукт безопасности имеет свой способ представления журналов и предупреждений. Сетевые решения, инструменты безопасности конечных точек, брандмауэры, инструменты идентификации, инструменты облачной безопасности и многие другие имеют свои собственные форматы предупреждений и частоту. Каждый SIEM инструментом может хранить журналы с этих устройств - это простая часть.
Проблема в том, что создание сложных многомерных правил, способных не отставать от текущего темпа атак, практически невозможно. Например, на IDS вы можете видеть более миллиона предупреждений в день. Правила Suricata могут отфильтровать известные уязвимости до 200,000 XNUMX, но оттуда вам, как правило, придется создать серию правил на основе ваших знаний о среде клиента.
Это область, где использование машинного обучения (МО) для анализа данных IDS может значительно сократить это число до управляемого количества оповещений. Вместо написания правил для обнаружения угроз, вы можете использовать МО для определения базового уровня нормального поведения в сети. Когда клиент обычно входит в систему? Откуда он входит в систему? Как долго он обычно остается в сети? Вместо 200 000 оповещений, обнаружение угроз с помощью МО может сократить это число до нескольких. Получение этой информации в совокупности по всем вашим инструментам безопасности значительно быстрее и проще для ваших пользователей. SOC аналитик для управления.
Открытая интеграция - Кроме того, убедитесь, что XDR Платформа вы рассматриваете это открытый. Поскольку в ближайшие несколько лет технологии безопасности будут быстро меняться, эти платформы помогут вам избежать привязки к поставщику. Это поможет вам сохранить способность адаптироваться к меняющейся среде кибербезопасности и потребностям ваших клиентов.
В Stellar Cyber мы думаем управляемый API или Open XDR это наилучший путь вперед – независимо от того, откуда вы пришли и какие существующие инструменты вы используете, и независимо от того, куда вы хотите перейти с точки зрения зрелости безопасности. Для нас это означает, что мы помогаем составить стратегию, которая работает на вас как на предприятие или на ваших клиентов как на MSSP, используя инвестиции, которые вы оба сделали. Свяжитесь со мной для живого обсуждения: ssalinas@stellarcyber.ai
