Для поставщиков систем безопасности и тех, кто рынок XDR в частности, существует архитектурная ось сборки и интеграции. На одном конце у вас есть «Построить / приобрести все» – поставщики, которые являются вертикально интегрированными и хотят быть полным стеком безопасности предприятия. На другом конце у вас есть «Интеграция со всем» — поставщики, которые создают один компонент или API, предназначенный для включения в более крупную архитектуру. Есть плюсы и минусы для обоих подходов. Лагерь «Построить / приобрести все» может тесно связать все компоненты вместе, чтобы создать целостную систему безопасности, но они делают это за счет сосредоточенности и, вероятно, не будут лучшими в своем классе. Лагерь «Интеграция со всем» наслаждается предоставленной им направленностью и может создать фантастический продукт с минимальными возможностями, но требует, чтобы определенный покупатель включил их в свой более широкий портфель безопасности.
В Stellar Cyber мы придерживаемся подхода, который находится где-то посередине этой архитектурной оси — баланс между встроенными возможностями (особенно NDR, SIEM, СОВЕТ, и XDR AI-движок) и возможности, с которыми мы интегрируемся. Одним из наиболее важных классов продуктов, с которыми мы интегрируемся, является EDR. Недавно мы объявили о Первый в отрасли универсальный EDR, то есть возможность перенести любой EDR или EDR на нашу платформу, и мы не только поддерживаем их, но и делаем их лучше, обеспечивая при этом уровень точности независимо от выбора EDR. Другими словами, он позволяет пользователям получить лучшее от встроенных и интегрированных подходов — он предлагает Универсальная интеграция EDR где интегрируемый продукт настолько тесно интегрирован, что ведет себя так, как если бы он был встроенной частью платформы, но платформа остается открытой.
Одна из самых больших технических проблем, с которыми мы столкнулись при разработке этой возможности, заключалась в том, как постоянно генерировать высококачественные оповещения независимо от поставщика EDR. Мы описываем наш технический подход как «Пути оповещения» или методы обработки, необходимые для перехода от исходных данных EDR к высокоточному предупреждению в Stellar Cyber. Каждый EDR отличается, что послужило основанием для необходимости разработки структуры для эффективной обработки каждого EDR.
Платформа и пути оповещения, описанные ниже, являются легкодоступными внутренними функциями в Платформа Stellar Cyber Open XDR.
Путь оповещения 1 — «Проходное обогащение»
Техника «сквозного обогащения» требует оповещений из источника системы ЭДР, затем обогащает эти оповещения дополнительной информацией об угрозах и согласовывает их с MITRE ATT & CK. В некотором смысле это похоже на добавление некоторого дополнительного контекста после повторного сообщения новостей, но может быть очень эффективным, если некоторые конкретные предупреждения в источнике EDR отличаются высочайшей достоверностью. Однако в нашем исследовании этот подход в лучшем случае лишь частично применим для любого заданного EDR.
Путь оповещения 2 — «Дедупликация»
Техника «Дедупликация» применяет машинное обучение для идентификации исходного EDR. оповещений которые дублируются и, вероятно, являются частью одной и той же деятельности, и создает единое оповещение в Stellar Cyber для повышения эффективности автоматизации и аналитики.
Путь оповещения 3 — «Машинное обучение на основе событий»
Метод «Машинное обучение на основе событий» является наиболее сложным с технической точки зрения, поскольку все исходные EDR события и оповещения обрабатываются с помощью различных моделей предупреждений машинного обучения, которые генерируют новые новые предупреждения в Stellar Cyber. Это требует тщательного изучения данных и надежного процесса нормализации, чтобы добиться успеха у поставщиков EDR.
Наш подход к универсальному EDR
Нашим руководящим принципом при разработке этой платформы является обеспечение безопасности конечного пользователя. Поскольку нет одинаковых EDR, это означает, что мы применяем разные пути оповещения к разным подмножествам оповещений и событий в разных продуктах EDR. Например, EDR 1 может иметь 10 % сквозной передачи, 50 % дедупликации и 40 % машинного обучения на основе событий, а для EDR 2 эти соотношения могут составлять 0 %, 80 % и 20 % соответственно.
Для компании, которая не создает внутреннюю EDR, мы находимся на переднем крае исследований безопасности на основе конечных точек. Это внутренне интересно для самого фронтира, но, что наиболее важно, из-за того, что это значит для наших клиентов. Предстоит сделать еще очень много работы, и если вы заинтересованы в присоединении к нашей талантливой команде по безопасности или инженерам, пожалуйста, ознакомьтесь с нашим вакансии.
