Hầu hết mọi nhà cung cấp, từ các công ty cổng email đến các nhà phát triển nền tảng tình báo mối đe dọa, đều đang định vị mình như một người chơi XDR. Nhưng thật không may, sự ồn ào xung quanh XDR khiến người mua khó tìm ra giải pháp có thể phù hợp với họ hoặc quan trọng hơn là tránh những giải pháp không đáp ứng nhu cầu của họ.
Stellar Cyber cung cấp giải pháp Open XDR cho phép các tổ chức sử dụng bất kỳ công cụ bảo mật nào họ muốn trong ngăn xếp bảo mật của họ, cung cấp thông báo và đăng nhập vào Stellar Cyber. Cách tiếp cận “Mở” của Stellar Cyber có nghĩa là nền tảng của họ có thể hoạt động với bất kỳ sản phẩm nào. Do đó, một nhóm bảo mật có thể thực hiện các thay đổi mà không cần băn khoăn liệu nền tảng Stellar Cyber Open XDR có còn hoạt động hay không.
Stellar Cyber giải quyết nhu cầu của các nhóm bảo mật doanh nghiệp tinh gọn bằng cách cung cấp các khả năng thường có trong các sản phẩm NG-SIEM, NDR và SOAR trong nền tảng Open XDR của họ, được quản lý bởi một giấy phép duy nhất. Việc hợp nhất này cho phép khách hàng loại bỏ sự phức tạp của ngăn xếp bảo mật.
Stellar Cyber phục vụ khách hàng trong tất cả các ngành công nghiệp lớn, với khách hàng trên khắp Châu Âu, Châu Á, Úc, Nhật Bản, Hàn Quốc và Châu Phi, cung cấp bảo mật cho hơn 3 triệu tài sản. Ngoài ra, Stellar Cyber tuyên bố sau khi triển khai, người dùng thấy thời gian phản hồi (MTTR) nhanh hơn tới 20 lần, một tuyên bố táo bạo.
Phản hồi sự cố từ Trang chủ
Khi đăng nhập vào Stellar Cyber, màn hình ban đầu là màn hình chính của nhà phân tích, hiển thị các số liệu thống kê như sự cố hàng đầu và tài sản rủi ro nhất. Một phần thú vị trên màn hình này là cái mà Stellar Cyber gọi là Open XDR Kill Chain. Nhấp vào bất kỳ phân đoạn nào của chuỗi tiêu diệt, chẳng hạn như “Các nỗ lực ban đầu”, sẽ hiển thị các mối đe dọa liên quan đến phần đó của chuỗi tấn công.
Ví dụ: người dùng có thể thấy các cảnh báo này với giai đoạn “Các nỗ lực ban đầu” do Stellar Cyber tự động đặt. Người dùng có thể xem thêm thông tin về cảnh báo bằng cách nhấp vào “Xem” trên bất kỳ cảnh báo nào. Sau đó, cuộn màn hình xuống, người dùng có thể nhấp vào liên kết “thêm thông tin” để xem thêm thông tin về cảnh báo đã chọn.
Tại đây, người dùng có thể đọc về sự cố, xem lại chi tiết và xem dữ liệu thô đằng sau sự cố này và JSON, có thể sao chép vào khay nhớ tạm nếu cần. Ngoài ra, bằng cách nhấp vào nút “Tác vụ”, người dùng có thể thấy các tính năng nền tảng mạnh mẽ khác.
Người dùng có thể thực hiện các hành động phản hồi từ màn hình này, chẳng hạn như “thêm bộ lọc, kích hoạt email hoặc thực hiện hành động bên ngoài. Nhấp vào hành động bên ngoài sẽ hiển thị danh sách chọn bổ sung. Người dùng có thể nhấp vào Điểm cuối để xem các tùy chọn hành động từ máy chủ chứa đến tắt máy chủ.
Khi nhấp vào một hành động, như chứa máy chủ lưu trữ, hộp thoại cấu hình hiển thị nơi người dùng có thể chọn trình kết nối để sử dụng, mục tiêu của hành động và bất kỳ tùy chọn nào khác cần thiết để bắt đầu hành động đã chọn. Tóm lại, các nhà phân tích bảo mật, đặc biệt là những nhà phân tích cơ sở, sẽ thấy quy trình làm việc này rất hữu ích ở chỗ họ có thể a) nhanh chóng xem xét chi tiết của một sự cố từ màn hình chính, b) xem chi tiết hơn nữa bằng cách đi sâu hơn vào dữ liệu, và c) lấy một hành động khắc phục từ màn hình này mà không cần viết bất kỳ tập lệnh hoặc mã nào.
Doanh nghiệp có thể trợ giúp các nhà phân tích mới bằng cách yêu cầu họ làm việc trên chế độ xem này để làm quen với nền tảng, xử lý các sự cố có mức độ ưu tiên thấp để các nhà phân tích khác có thể giải quyết các sự cố quan trọng hơn.
Khám phá sự cố
Thay vì nhấp vào Chuỗi tiêu diệt XDR Mở, nếu người dùng nhấp vào “Sự cố”, màn hình bên dưới sẽ hiển thị.
Khi người dùng nhấp vào củ cà rốt trong vòng tròn màu xanh lam, danh sách lọc cho phép người dùng trau dồi về một loại sự cố cụ thể. Người dùng có thể vào trực tiếp nút chi tiết để xem nội dung trong chế độ xem chi tiết này.
Người dùng có thể thấy sự cố này xảy ra và lan truyền như thế nào trên nhiều nội dung. Hơn nữa, người dùng có thể tự động xem các tệp, quy trình, người dùng và dịch vụ liên quan đến sự cố. Vì vậy, chẳng hạn, người dùng có thể chuyển sang chế độ xem dòng thời gian để có thể đọc được lịch sử về sự cố này.
Và nhấp vào chữ “i” nhỏ để đến màn hình chi tiết được hiển thị trước đó.
Tóm lại, các nhà phân tích đã quen làm việc với danh sách các cảnh báo có thể muốn bắt đầu điều tra từ trang sự cố. Chế độ xem này cũng có lợi vì nó tự động hiển thị tất cả các cảnh báo liên quan đến sự cố này trong một chế độ xem duy nhất.
Săn lùng mối đe dọa trong Stellar Cyber
Người dùng có thể bắt đầu một cuộc săn lùng mối đe dọa từ màn hình trên. Số liệu thống kê trên màn hình thay đổi động bằng cách nhập một cụm từ, chẳng hạn như “đăng nhập” trong hộp thoại tìm kiếm. Sau đó, kéo màn hình xuống, người dùng có thể thấy danh sách các cảnh báo được lọc dựa trên cụm từ tìm kiếm.
Người dùng có thể tạo một “tìm kiếm tương quan” trong hộp thoại tìm kiếm.
Người dùng có thể tải một truy vấn đã lưu hoặc thêm một truy vấn mới. Nhấp vào truy vấn thêm, người dùng có thể thấy trình tạo truy vấn này. Trình xây dựng này cho phép tìm kiếm trên các kho dữ liệu của Stellar Cyber để tìm các mối đe dọa chưa được chú ý. Tại đây người dùng cũng có thể truy cập vào thư viện săn tìm mối đe dọa.
Cuối cùng, người dùng có thể tạo các hành động phản hồi tự động thực thi nếu truy vấn trả về kết quả phù hợp.
Tóm lại, Stellar Cyber cung cấp một nền tảng săn tìm mối đe dọa đơn giản mà không yêu cầu người dùng phải xây dựng ngăn xếp ELK của riêng họ hoặc là một tập lệnh quyền lực. Tính năng này là một cách dễ dàng để thêm yếu tố săn lùng mối đe dọa vào nhóm bảo mật mà không cần thuê một thợ săn mối đe dọa cấp cao.
Sự kết luận
Stellar Cyber là một nền tảng hoạt động bảo mật vững chắc với nhiều tính năng có thể giúp nhóm bảo mật cải thiện năng suất. Nếu trên thị trường cho một nền tảng secops mới và sẵn sàng áp dụng (toàn bộ hoặc một phần) một cách tiếp cận mới về bảo mật, thì nên xem những gì Stellar Cyber cung cấp. Để tìm hiểu thêm về Stellar Cyber, hãy thử tham quan sản phẩm kéo dài 5 phút.
.
