Khi mức độ phức tạp của mối đe dọa tăng lên và ranh giới của một tổ chức đã biến mất, các nhóm bảo mật đang gặp nhiều thách thức hơn bao giờ hết để cung cấp các kết quả bảo mật nhất quán. Một công ty nhằm giúp các nhóm bảo mật đáp ứng thách thức này là Stellar Cyber.
Stellar Cyber tuyên bố giải quyết nhu cầu của MSSP bằng cách cung cấp các khả năng thường có trong các sản phẩm NG-SIEM, NDR và SOAR trong nền tảng Open XDR của họ, được quản lý bằng một giấy phép duy nhất. Theo Stellar Cyber, việc hợp nhất này có nghĩa là thời gian chuyển đổi của nhà phân tích bảo mật nhanh hơn và việc tiếp cận khách hàng với các tác vụ thủ công ít đòi hỏi hơn nhiều. Stellar Cyber hiện có hơn 20 nhà cung cấp MSSP hàng đầu là khách hàng, cung cấp bảo mật cho hơn 3 triệu tài sản. Ngoài ra, Stellar Cyber tuyên bố sau khi triển khai, người dùng thấy thời gian phản hồi (MTTR) nhanh hơn tới 20 lần, một tuyên bố táo bạo.
Gần đây, chúng tôi đã xem xét kỹ hơn về Nền tảng hoạt động an ninh mạng Stellar.
Trước khi chúng tôi bắt đầu
Trước khi tìm hiểu về nền tảng này, đây là một số điều mà MSSP nên biết về Stellar Cyber:
Hoạt động với bất kỳ EDR nào: Stellar Cyber có thể được phân loại là Open XDR vì nó mang lại khả năng hiển thị trên các môi trường của khách hàng của bạn; tuy nhiên, nó không phải là phần mở rộng của sản phẩm EDR. Ngược lại, Stellar Cyber cung cấp các tích hợp được tạo sẵn cho bất kỳ nhà cung cấp EDR lớn nào, nghĩa là khách hàng của bạn có thể sử dụng bất kỳ EDR nào họ muốn nếu bạn sử dụng Stellar Cyber.
Đó là Nhiều người thuê: Stellar Cyber là một giải pháp dành cho nhiều người thuê có nghĩa là dữ liệu của khách hàng của bạn sẽ không bị lẫn lộn, cho phép bạn cung cấp dịch vụ của mình ở các khu vực đặc biệt quan tâm đến quyền riêng tư của dữ liệu. Hơn nữa, phương pháp cho thuê nhiều lần này có thể thúc đẩy tỷ lệ nhà phân tích trên khách hàng tốt hơn. Trong một số tình huống nhất định, công việc được thực hiện cho một khách hàng có thể được áp dụng cho một khách hàng khác mà không làm mất tính toàn vẹn của dữ liệu.
Để tạo điều kiện thuận lợi cho việc đánh giá sản phẩm này, nhóm tại Stellar Cyber đã cấp cho chúng tôi quyền truy cập vào phiên bản dựa trên đám mây của sản phẩm của họ, vì vậy, sau khi giới thiệu sản phẩm ngắn gọn do nhân viên hỗ trợ của Stellar Cyber cung cấp, chúng tôi đã đăng nhập vào sản phẩm.
Phản hồi sự cố từ Trang chủ
Đây là màn hình ban đầu bạn thấy khi đăng nhập vào Stellar Cyber. Bạn sẽ thấy nhiều yếu tố trên màn hình chính của nhà phân tích, chẳng hạn như các sự cố hàng đầu và các tài sản rủi ro nhất. Một phần thú vị trên màn hình này là cái mà Stellar Cyber gọi là Open XDR Kill Chain. Bằng cách nhấp vào bất kỳ phân đoạn nào của chuỗi tiêu diệt, bạn có thể truy cập các mối đe dọa liên quan đến phần đó của chuỗi tấn công. Ví dụ: tôi đã nhấp vào “Những nỗ lực ban đầu” để truy cập vào màn hình này.
Tại đây, tôi có thể thấy các cảnh báo này với giai đoạn “Các nỗ lực ban đầu” do Stellar Cyber tự động đặt. Sâu hơn nữa xuống lỗ thỏ, tôi thấy thêm thông tin về cảnh báo khi tôi nhấp vào “Xem” trên bất kỳ cảnh báo nào. Ban đầu, tôi được trình bày với một số biểu đồ tóm tắt, sau đó cuộn xuống màn hình một chút, tôi thấy một siêu liên kết “thông tin thêm”, vì vậy tôi đã nhấp vào nó và nhận lại được điều này.
Tại đây, tôi có thể đọc về sự cố, tìm hiểu chi tiết và xem lại dữ liệu thô đằng sau sự cố này cũng như JSON mà tôi có thể sao chép thuận tiện vào khay nhớ tạm nếu cần.
Đây là nơi tôi nghĩ rằng mọi thứ trở nên thú vị hơn một chút. Mặc dù cách trình bày dữ liệu trong Stellar Cyber rất dễ hiểu và logic, nhưng sức mạnh thực sự của sản phẩm không được thể hiện rõ với tôi cho đến khi tôi nhấp vào nút “Hành động” trên màn hình phía trên.
Như bạn có thể thấy, tôi có thể thực hiện các hành động phản hồi của mình ngay từ màn hình này, chẳng hạn như “thêm bộ lọc, kích hoạt email hoặc thực hiện hành động bên ngoài. Nhấp vào hành động bên ngoài, tôi nhận được một danh sách chọn khác. Khi tôi nhấp vào Điểm cuối, tôi nhận được một danh sách dài các tùy chọn từ máy chủ chứa đến máy chủ lưu trữ tắt máy.
Khi nhấp vào một hành động, như chứa máy chủ lưu trữ, hộp thoại cấu hình hiển thị nơi tôi có thể chọn trình kết nối để sử dụng, mục tiêu của hành động và bất kỳ tùy chọn nào khác cần thiết để bắt đầu hành động đã chọn. Vì vậy, tóm lại, tôi có thể thấy các nhà phân tích bảo mật, đặc biệt là những người cấp dưới, sẽ thấy quy trình làm việc này rất hữu ích ở chỗ họ có thể a) dễ dàng tìm hiểu chi tiết của một sự cố từ màn hình chính, b) xem xét chi tiết hơn nữa bằng cách đi sâu hơn vào dữ liệu và c) thực hiện hành động khắc phục từ màn hình này mà không cần viết bất kỳ tập lệnh nào hoặc sửa đổi mã.
Đối với MSSP, tôi có thể thấy giới thiệu các nhà phân tích mới làm việc trên chế độ xem này ban đầu để họ làm quen với nền tảng trong khi vẫn giúp đáp ứng các thỏa thuận cấp dịch vụ khách hàng. Tuy nhiên, ruột của tôi nói với tôi rằng còn nhiều điều cần tìm hiểu về nền tảng Stellar Cyber này, vì vậy hãy xem liệu có một con đường khác để điều tra các sự cố hay không.
Khám phá sự cố
Bây giờ thay vì nhấp vào Open XDR Kill Chain, tôi sẽ nhấp vào mục menu “Sự cố” và đổi lại màn hình này.
Khi tôi nhấp vào củ cà rốt trong vòng tròn màu xanh lam, nó mở rộng danh sách lọc cho phép tôi trau dồi về một loại sự cố cụ thể. Vì tôi đang ở chế độ khám phá, tôi đi thẳng đến nút chi tiết để xem những gì tôi có thể tìm thấy trong chế độ xem chi tiết này.
Bây giờ tôi có thể thấy sự cố này xảy ra và lan truyền trên nhiều nội dung như thế nào. Hơn nữa, tôi có thể tự động xem các tệp, quy trình, người dùng và dịch vụ liên quan đến sự cố. Có nhiều cách khác nhau để xem dữ liệu này. Ví dụ: tôi có thể chuyển sang chế độ xem dòng thời gian để xem lịch sử sự cố này có thể đọc được, như bên dưới:
Khi tôi nhấp vào chữ “i” nhỏ, tôi sẽ đến một màn hình quen thuộc.
Tôi biết câu chuyện từ đây, điều đó thật hay.
Vì vậy, tóm lại, tôi có thể thấy rằng các nhà phân tích đã quen làm việc với danh sách các cảnh báo có thể muốn bắt đầu điều tra của họ từ trang sự cố. Đối với MSSP, chế độ xem này cũng có lợi vì nó hiển thị tất cả các sự cố của tất cả người thuê trong một chế độ xem duy nhất. Tất nhiên, bạn có thể giới hạn chế độ xem này bởi các nhà phân tích, khách hàng, v.v.
Các hành động đối phó và săn tìm mối đe dọa trong Stellar Cyber
Đến thời điểm này, tôi tin rằng Stellar Cyber cung cấp một cách tiếp cận thú vị cho các MSSP muốn hợp lý hóa các hoạt động bảo mật của họ. Thành thật mà nói, tại thời điểm này trong bài đánh giá của tôi, tôi chưa phải viết bất kỳ tập lệnh đặc biệt nào hoặc làm bất kỳ điều gì khác ngoài việc nhấp vào một số liên kết và cuộn quanh một số màn hình để phản hồi một cách giả định đối với một số cảnh báo khó chịu, đây không phải là tiêu chuẩn cho các loại sản phẩm này .
Trước khi ca ngợi Stellar Cyber quá cao, tôi muốn xem xét một số tính năng đã nêu khác, Hành động săn tìm mối đe dọa và phản ứng (hay còn gọi là SOAR). Hãy bắt đầu với việc săn tìm mối đe dọa. Khi tôi nhấp vào “Săn đe dọa” từ menu, tôi sẽ thấy màn hình này.
Trong khi những số liệu thống kê này rất thú vị, tôi đang tìm kiếm mối đe dọa có thể hành động h; đó là nơi tôi thấy hộp thoại tìm kiếm ở trên cùng bên phải. Tôi nhập thông tin đăng nhập và nhận thấy các số liệu thống kê thay đổi động. Cuộn xuống màn hình, tôi cũng thấy danh sách các cảnh báo đã được lọc dựa trên cụm từ tìm kiếm của tôi. Tại đây, tôi thấy tùy chọn “thông tin thêm” quen thuộc, vì vậy tôi biết điều đó sẽ đưa tôi đến đâu.
Tôi cũng nhận thấy một cái gì đó được gọi là “tìm kiếm tương quan” bên dưới hộp thoại tìm kiếm. Khi tôi nhấp vào đó, màn hình của tôi sẽ thay đổi thành này.
Tôi có thể tải một truy vấn đã lưu hoặc thêm một truy vấn mới. Nhấp vào truy vấn thêm, tôi thấy trình tạo truy vấn này. Điều này cho phép tôi tìm kiếm về cơ bản bất kỳ dữ liệu nào mà Stellar Cyber lưu trữ để tìm ra các mối đe dọa về mặt lý thuyết mà không được chú ý. Tôi cũng có thể truy cập thư viện săn tìm mối đe dọa để truy cập các truy vấn đã lưu trước đó.
Bạn cũng có thể tạo các hành động phản hồi sẽ tự động chạy nếu truy vấn bạn tạo trả về bất kỳ kết quả phù hợp nào.
Vì vậy, tóm lại, Stellar Cyber cung cấp một nền tảng săn tìm mối đe dọa đơn giản mà không yêu cầu bạn phải xây dựng ngăn xếp ELK của riêng mình hoặc trở thành một tập lệnh quyền lực. Đối với MSSP, tôi có thể thấy đây là một giá trị bổ sung tuyệt vời mà họ có thể cung cấp cho khách hàng khi các mối đe dọa mới nổi được phát hiện trong tự nhiên.
Sự kết luận
Stellar Cyber là một nền tảng hoạt động bảo mật vững chắc với nhiều tính năng cho người dùng MSSP. Nếu bạn đang tìm kiếm một nền tảng SecOps mới, bạn nên xem qua những gì Stellar Cyber cung cấp.
.
