Внутри конвейера данных Stellar Cyber: скрытый механизм, лежащий в основе интеллектуальной безопасности

By /

Безопасность на основе искусственного интеллекта, Информационная безопасность, ИТ-технологии, ППГЧ, Сетевая безопасность, Open XDR, Open XDR Платформа

Управляющее резюме

Современные SOCСистемы обработки данных перегружены огромным объемом и сложностью информации. Возможность фильтровать, нормализовать, обогащать и маршрутизировать данные безопасности в больших масштабах без потери точности напрямую влияет на точность обнаружения, эффективность работы аналитиков и соответствие нормативным требованиям. Понимая всю значимость проблем, связанных с данными, и необходимость таких возможностей, конвейер обработки данных Stellar Cyber ​​является не дополнительным модулем, а основной функцией нашей системы. Платформа SecOps на базе искусственного интеллекта С самого начала. В этом документе описываются технические основы конвейера Stellar Cyber ​​и то, как его уникальная архитектура помогает службам безопасности объединять источники данных, устранять помехи и ускорять реагирование на инциденты.

Введение: за пределами конвейеров данных

В то время как некоторые продукты ориентированы только на сбор и перемещение данных, Stellar Cyber ​​интегрирует полноценную платформу безопасности с тщательно разработанным конвейером данных в своей основе. Этот конвейер не просто принимает и передает данные, но и преобразует их в ходе многоэтапного процесса. фильтрует, нормализует, обогащает, коррелирует и направляет данные в соответствующее хранилище для рабочих процессов обнаружения и реагирования, а также в резервное хранилище, такое как S3. Это обеспечивает настоящую сквозную видимость, обнаружение и принятие мер.

Основные принципы конвейера данных Stellar Cyber

Для обеспечения всеобъемлющего контроля над всей поверхностью атак организации решение Stellar Cyber ​​предлагает различные методы сбора данных. Оно позволяет собирать журналы и данные сетевой телеметрии с помощью распределенных модульных датчиков, интегрироваться с различными приложениями через их собственные API и развертывать серверные датчик для сбора данных с серверов Linux и Windows.

1. Фильтрация трафика на периферии

В отличие от инструментов, которые фильтруют данные только в точке сбора данных, расположенной централизованно, датчики Stellar Cyber ​​применяют фильтры трафика и приложений до того, как данные покинут источник. События, поступающие в конвейер, немедленно обрабатываются передовыми пересылающими системами. Они применяют детальные правила фильтрации в масштабе, поэтому сохраняются только данные, необходимые для обеспечения соответствия требованиям, обнаружения или аналитики. Эта предварительная фильтрация:
  • Удаляет нерелевантные события на ранней стадии (шумоподавление на краю).
  • Снижает требования к пропускной способности и хранилищу заранее отбрасывая некритические журналы.
  • Обеспечивает гибкость за счет поддержки фильтрации на основе политик на основе типа приложения, порта, протокола или пользовательских правил.

2. Нормализация по разным источникам

Механизм нормализации Interflow стандартизирует форматы и схемы журналов из множества разрозненных источников. Это позволяет:

  • Автоматизированное обнаружение с помощью машинного обучения или правил
  • Автоматизированная корреляция отдельных оповещений в случаи посредством нормализованных артефактов.
  • Последовательное обогащение для контекстуализации
  • Быстрая последующая аналитика без повторного синтаксического анализа.
  • Точные, простые для понимания панели мониторинга, отчеты и расследования.

3. Контекстное обогащение в реальном времени при приеме

По мере того, как данные поступают в Stellar Cyber Open XDR платформа, она обогащается в режиме реального времени (а не после приема), предоставляя высококонтекстную телеметрию для обеспечения быстрого и точного обнаружения и реагирования.

Ключевые аспекты обогащения включают в себя:
  • Поиск GeoIP и ASN: Мгновенно добавляет данные о стране, городе и автономной системе к каждому событию с IP-адресами.
  • Аналитика угроз в реальном времени: Сопоставляется с несколькими источниками разведывательной информации об угрозах (коммерческими, с открытым исходным кодом и определяемыми клиентами), применяя оценку рисков в режиме реального времени.
  • Разрешение пользователей и сущностей: Сопоставляет журналы и трафик с идентификационными данными людей и машин через Active Directory, Okta, системы IAM и инвентаризации активов.
  • Идентификация приложения: Механизм глубокой проверки пакетов (DPI) и идентификация приложений повышают прозрачность событий за пределами эвристики на основе портов.
  • Пользовательские теги и внедрение контекста: Администраторы могут вводить в поток данных контекст, специфичный для бизнеса (например, критичность активов, функции, зоны соответствия).
Благодаря такому глубокому встроенному обогащению каждое оповещение и расследование начинается с содержательного, применимого на практике контекста, например, где, когда, кто, что, что позволяет минимизировать время сортировки, повысить точность обнаружения и ускорить анализ первопричин.

4. Маскировка и редактирование PII/PHI

Конвейер включает фильтры на основе регулярных выражений и функции маскирования для автоматического удаления конфиденциальных полей, таких как персональные данные или информация о состоянии здоровья. Это помогает организациям соблюдать нормативные требования, одновременно используя данные для аналитики безопасности.

5. Маршрутизация и мультиплексирование

С помощью профилей маршрутизации обогащенные события могут отправляться одновременно в несколько пунктов назначения.SIEM(любые совместимые с S3 хранилища данных или Snowflake, системы обработки заявок или аналитические кластеры). Это позволяет командам:
  • Избегайте привязки к поставщику.
  • Удовлетворение разнообразных потребностей в хранении, соблюдении нормативных требований и аналитике.
  • Обеспечьте питание отдельных команд или инструментов, не дублируя усилия по приему пищи.

6. Обнаружение аномалий в реальном времени и дедупликация

Встроенные модули обнаружения аномалий и машинного обучения после обработки данных выявляют выбросы по мере поступления данных. Дедупликация и агрегация данных дополнительно сокращают объём данных без ущерба для точности, что идеально подходит для сред с высокой EPS и объёмом данных в несколько терабайт в день.

7. Многопользовательская архитектура MSSP

С самого начала компания Stellar Cyber ​​заложила в свою платформу возможности многопользовательской работы. Поставщики управляемых услуг (MSSP) могут безопасно управлять данными нескольких клиентов, используя полную изоляцию данных, различные варианты хранения, сроки хранения, политики и отчётность, и т. д. Это позволяет поставщикам управляемых услуг (MSSP) предлагать различные варианты решений для удовлетворения потребностей своих клиентов.

8. Интеграция с собственной платформой

Этот конвейер является частью собственной архитектуры Stellar Cyber ​​без дополнительных компонентов или зависимостей от сторонних разработчиков. Это обеспечивает:
  • Меньшая задержка.
  • Более быстрые обновления и масштабируемость.
  • Последовательная позиция в области безопасности и соответствия требованиям
  • Немедленная обратная связь между постобработкой и механизмом обработки данных.

9. Гибкость миграции данных

Компания Stellar Cyber ​​поддерживает миграцию с устаревших систем. SIEMПереход к новым хранилищам данных или аналитическим платформам с использованием коннекторов и профилей маршрутизации, сохранение непрерывности и избежание дорогостоящих проектов по полной замене.

Масштабируемость и зрелость

Архитектура конвейера Stellar Cyber ​​хорошо зарекомендовала себя в глобальных развертываниях с многотерабайтным трафиком в день. Клиенты регулярно масштабируют систему до десятков тысяч конечных точек и десятков источников данных, не испытывая узких мест. Зрелость платформы позволяет специалистам по безопасности быстро развертывать решения, широко интегрировать их и доверять конвейеру в производственной среде.

Почему конвейер данных Stellar Cyber ​​важен

Поскольку конвейер встроен в платформу безопасности SecOps на базе ИИ, аналитики получают не только достоверные данные, но и автоматизированное обнаружение, расследование и реагирование, все это — из единой унифицированной среды. Это означает:
  • Более быстрое среднее время восстановления.
  • Более высокая эффективность аналитики.
  • Сокращение затрат на инфраструктуру.
  • Полная прозрачность от приема до устранения.

Заключение

Конвейер обработки данных Stellar Cyber ​​— это не просто механизм передачи; это основа единой платформы для обеспечения безопасности на основе искусственного интеллекта. Фильтрация на источнике, нормализация данных из различных источников, обогащение контекстом и гибкая маршрутизация данных позволяют Stellar Cyber ​​расширять возможности системы. SOC команды для работы в больших масштабах, отсеивания лишней информации и более быстрого реагирования на угрозы.

Похожие статьи

Наверх
Подпишитесь на рассылку новостей