Я годами слышал о преимуществах пересылки и сбора логов. Отправляйте все свои данные в SIEM и ваша программа безопасности станет лучше и более зрелой. На самом деле, каждый руководитель службы информационной безопасности, с которым я общался за последние 5 лет, жалуется на это. SIEM и вне рамок соблюдения нормативных требований, их SIEM приносит мало пользы. Некоторые специалисты в области информационной безопасности утверждают, что, подобно антивирусам 10 лет назад, SIEM Мертв! Честно говоря, в его нынешнем состоянии я согласен.
Некоторые из вас спросят: «Если SIEM «Если он мертв, что нам делать?» Это вопрос на миллион долларов. Мой ответ: Open XDR. Что значит Open XDR Имеет ли это какое-либо отношение к названию блога? Обычно вы подумаете, что ЦРУ означает конфиденциальность, целостность и доступность (а не Центральное разведывательное управление). В данном случае, подумайте о корреляции, интеграции и автоматизации (если бы я мог найти место для буквы V (видимость), я бы это сделал). Open XDR Это даст вам это и многое другое!
Open XDRПо определению, это расширенное (X) обнаружение и реагирование. Подумайте о магазине приложений, который вы используете на своем iPhone. Когда вы впервые купили этот телефон (подумайте о платформе), на нем было предустановлено несколько приложений, а затем вы добавили еще несколько приложений для работы на этой платформе. Фотографии, которые вы делали и отправляли в текстовых сообщениях или загружали в Facebook, использовали общую платформу. Open XDR Это тот же самый принцип.
Компания Stellar Cyber разработала первый магазин приложений для информационной безопасности. Что это значит для вас? Это взаимосвязанная, интегрированная и автоматизированная платформа, обеспечивающая прозрачность работы всех ваших инструментов безопасности. Платформа, в данном случае Starlight, позволяет подключать к ней ваши приложения (например, для защиты конечных точек, антивирусов, межсетевых экранов, прокси-серверов и т. д.) наряду с приложениями, которые мы предоставляем.SIEM(SOAR, системы обнаружения вторжений на основе машинного обучения (ML-IDS), вредоносное ПО, обман и т. д.). В основе нашей работы лежит нормализация, обогащение, корреляция данных, обнаружение угроз и, в конечном итоге, активные и автоматизированные меры реагирования для снижения этих рисков.
Что делает Starlight открытым? Во-первых, с помощью API-интерфейсов RESTful мы можем интегрироваться с вашими существующими инструментами конечных точек, межсетевыми экранами и инструментами CASB и повысить их ценность для вас. Ценность тесно интегрированного App Store заключается в том, что ваша экосистема поставщиков может лучше работать вместе, что означает, что Starlight может помочь вам увидеть более актуальные события после интеграции и создать собственное индивидуальное решение. Starlight связывает как врожденные, так и интегрированные приложения с нашей технологией Interflow ™, которая упрощает обнаружение и расследование аномалий, создавая контекст между событиями. Interflow нормализует данные безопасности, совместно используемые интегрированными приложениями и сторонними приложениями, обеспечивая единую прозрачность и контроль для всех наборов инструментов безопасности.
Кроме того, Stellar Cyber предоставляет нашему сообществу пользователей средства для написания собственных приложений, написания собственных парсеров, написания собственных подписей ML-IDS и обмена всем с сообществом. Такой подход сообщества помогает каждому повысить уровень безопасности и зрелость своих компаний.
Представьте себе единый интерфейс, позволяющий видеть (контролировать) все ваши средства безопасности, сопоставлять их между собой и реагировать на угрозы. Это приведет к уменьшению количества разрозненных инструментов безопасности, снижению количества оповещений и улучшению времени реагирования. Такая корреляция и автоматизация, подкрепленные точными и действенными событиями, в конечном итоге сократят число аналитиков, необходимых для мониторинга и управления операциями безопасности. SIEM Мертв! Да здравствует ЦРУ!
Автор: Дэйв Бартон, директор по информационной безопасности в Stellar Cyber
