Первоначально опубликовано в
Практически каждый поставщик, от компаний, предоставляющих почтовые шлюзы, до разработчиков платформ анализа угроз, позиционирует себя как... XDR игрок. Но, к сожалению, вокруг шум. XDR Это затрудняет покупателям поиск подходящих решений или, что еще важнее, позволяет избежать тех, которые не соответствуют их потребностям.
Компания Stellar Cyber предоставляет Open XDR Решение, позволяющее организациям использовать любые инструменты безопасности в своем стеке, передавая оповещения и журналы в Stellar Cyber. «Открытый» подход Stellar Cyber означает, что их платформа может работать с любым продуктом. В результате команда безопасности может вносить изменения, не беспокоясь о том, что Stellar Cyber может нарушить работу системы. Open XDR Платформа по-прежнему будет работать.
Компания Stellar Cyber удовлетворяет потребности небольших корпоративных команд по обеспечению безопасности, предоставляя возможности, обычно встречающиеся в решениях NG-SIEMПродукция NDR и SOAR в их ассортименте. Open XDR Платформа, управляемая единой лицензией. Такая консолидация позволяет клиентам устранить сложность стека безопасности.
Stellar Cyber обслуживает клиентов во всех основных отраслях, включая клиентов в Европе, Азии, Австралии, Японии, Южной Корее и Африке, обеспечивая безопасность более 3 миллионов активов. Кроме того, Stellar Cyber утверждает, что после развертывания пользователи видят до 20 раз более быстрое среднее время ответа (MTTR), что является смелым заявлением.
Реагирование на инцидент с домашней страницы
При входе в Stellar Cyber на начальном экране отображается главный экран аналитика, показывающий статистику, такую как наиболее частые инциденты и наиболее рискованные активы. Интересный элемент на этом экране — это то, что Stellar Cyber называет... Open XDR Цепочка атак. При нажатии на любой сегмент цепочки атак, например, «Первоначальные попытки», отображаются угрозы, связанные с этой частью цепочки атак.
Например, пользователь может видеть эти оповещения со стадией «Начальные попытки», установленной Stellar Cyber автоматически. Пользователь может просмотреть дополнительную информацию об оповещении, нажав «Просмотреть» в любом из оповещений. Затем, прокручивая экран вниз, пользователь может щелкнуть гиперссылку «подробнее», чтобы просмотреть дополнительную информацию о выбранном предупреждении.
Здесь пользователь может прочитать об инциденте, просмотреть подробности и просмотреть необработанные данные об этом инциденте и JSON, который при необходимости можно скопировать в буфер обмена. Кроме того, нажав кнопку «Действия», пользователь может увидеть другие мощные функции платформы.
На этом экране пользователь может выполнять ответные действия, такие как «добавить фильтр, инициировать электронное письмо или выполнить внешнее действие. При нажатии на внешнее действие отображается дополнительный список выбора. Пользователь может щелкнуть Конечную точку, чтобы увидеть варианты действий от включения хоста до выключения хоста.
При щелчке на действии, например на содержании хоста, отображается диалоговое окно конфигурации, в котором пользователь может выбрать соединитель для использования, цель действия и любые другие параметры, необходимые для запуска выбранного действия. Таким образом, аналитики безопасности, особенно младшие, найдут этот рабочий процесс очень полезным, поскольку они могут: а) быстро просмотреть детали инцидента с главного экрана, б) увидеть еще больше деталей, углубившись в данные, и в) принять действие по исправлению с этого экрана без написания каких-либо скриптов или кода.
Предприятие может помочь в адаптации новых аналитиков, заставив их работать над этим представлением, знакомя их с платформой, обрабатывая инциденты с низким приоритетом, чтобы другие аналитики могли работать над более важными инцидентами.
Изучение инцидентов
Вместо того, чтобы нажать на Open XDR В случае с Kill Chain, если пользователь нажмет «Инциденты», отобразится экран, показанный ниже.
Когда пользователь нажимает на морковку в синем кружке, список фильтрации позволяет пользователю отточить конкретный тип инцидента. Пользователь может перейти непосредственно к кнопке сведений, чтобы увидеть, что находится в этом подробном представлении.
Пользователь может видеть, как этот инцидент произошел и распространился на несколько активов. Кроме того, пользователь может автоматически просматривать файлы, процессы, пользователей и службы, связанные с инцидентом. Так, например, пользователь может переключиться на временную шкалу, чтобы получить удобочитаемую историю этого инцидента.
И нажмите маленькую «i», чтобы перейти к подробному экрану, показанному ранее.
Таким образом, аналитики, которые привыкли работать со списком предупреждений, могут начать свои исследования со страницы инцидентов. Это представление также полезно, так как оно автоматически отображает все оповещения, связанные с этим инцидентом, в одном представлении.
Поиск угроз в Stellar Cyber
Пользователи могут инициировать поиск угроз на экране выше. Статистика на экране динамически изменяется при вводе термина, например «логин», в диалоговом окне поиска. Затем, прокручивая экран вниз, пользователи могут увидеть список предупреждений, отфильтрованных на основе поискового запроса.
Пользователи могут создать «корреляционный поиск» в диалоговом окне поиска.
Пользователи могут загрузить сохраненный запрос или добавить новый запрос. Нажав на запрос добавления, пользователь может увидеть этот построитель запросов. Этот построитель позволяет искать в хранилищах данных Stellar Cyber угрозы, которые остались незамеченными. Здесь пользователь также может получить доступ к библиотеке поиска угроз.
Наконец, пользователь может создавать ответные действия, которые автоматически выполняются, если запрос возвращает совпадения.
Таким образом, Stellar Cyber предлагает простую платформу для поиска угроз, которая не требует от пользователей создания собственного стека ELK или мощного скриптинга. Эта функция — простой способ добавить элемент поиска угроз в команду безопасности, не нанимая старшего специалиста по поиску угроз.
Заключение
Stellar Cyber — это надежная платформа для обеспечения безопасности с множеством функций, которые могут помочь команде безопасности повысить производительность. Если на рынке новый Платформа безопасности и открыты для принятия (полностью или частично) нового подхода к безопасности, стоит взглянуть на то, что предлагает Stellar Cyber. Чтобы узнать больше о Stellar Cyber, попробуйте 5-минутный тур по продукту.
