Revisión práctica: Stellar Cyber ​​Security Operations Platform para MSSP


A medida que aumenta la complejidad de las amenazas y los límites de una organización casi han desaparecido, los equipos de seguridad enfrentan más desafíos que nunca para brindar resultados de seguridad consistentes. Una empresa que pretende ayudar a los equipos de seguridad a superar este desafío es cibernético estelar.

Stellar Cyber ​​afirma abordar las necesidades de los MSSP al proporcionar capacidades que normalmente se encuentran en los productos NG-SIEM, NDR y SOAR en su plataforma Open XDR, administrada con una sola licencia. Según Stellar Cyber, esta consolidación significa un tiempo de rampa de analista de seguridad más rápido y la incorporación de clientes con muchas menos tareas manuales intensivas requeridas. Stellar Cyber ​​actualmente cuenta con más de 20 de los principales proveedores de MSSP como clientes, brindando seguridad para más de 3 millones de activos. Además, afirmaciones cibernéticas estelares después de la implementación, los usuarios ven un tiempo medio de respuesta (MTTR) hasta 20 veces más rápido, una afirmación audaz.

Recientemente echamos un vistazo más de cerca a Stellar Cyber ​​Security Operations Platform.

Antes de que comencemos

Antes de profundizar en la plataforma, aquí hay algunas cosas que los MSSP deben saber sobre Stellar Cyber:

  • Funciona con cualquier EDR: Stellar Cyber ​​podría clasificarse como Open XDR, ya que brinda visibilidad en los entornos de sus clientes; sin embargo, no es una extensión de un producto EDR. Por el contrario, Stellar Cyber ​​ofrece integraciones preconstruidas a los principales proveedores de EDR, lo que significa que sus clientes pueden usar cualquier EDR que deseen si usa Stellar Cyber.
  • Es multiusuario: Stellar Cyber ​​es una solución multiusuario, lo que significa que los datos de sus clientes no se mezclarán, lo que le permite ofrecer sus servicios en regiones específicamente preocupadas por la privacidad de los datos. Además, este enfoque de tenencia múltiple puede impulsar mejores proporciones analista-cliente. En ciertas situaciones, el trabajo realizado para un cliente se puede aplicar a otro sin pérdida de integridad de datos.

Para facilitar esta revisión del producto, el equipo de Stellar Cyber ​​nos dio acceso a la versión basada en la nube de su producto, por lo que después de un breve recorrido por el producto proporcionado por una persona de soporte de Stellar Cyber, iniciamos sesión en el producto.

Responder a un incidente desde la página de inicio

Esta es la pantalla inicial que ve al iniciar sesión en Stellar Cyber. Esperaría ver muchos elementos en la pantalla de inicio del analista, como los principales incidentes y los activos más riesgosos. Una pieza interesante en esta pantalla es lo que Stellar Cyber ​​llama Open XDR Kill Chain. Al hacer clic en cualquier segmento de la cadena de eliminación, puede acceder a las amenazas asociadas con esa parte de la cadena de ataque. Por ejemplo, hice clic en “Intentos iniciales” para acceder a esta pantalla.

Aquí puedo ver estas alertas con el escenario “Intentos iniciales” configurados por Stellar Cyber ​​automáticamente. Más abajo en la madriguera del conejo, veo más información sobre la alerta cuando hago clic en “Ver” en cualquiera de las alertas. Inicialmente, se me presentaron algunos gráficos de resumen, luego, al desplazarme un poco hacia abajo en la pantalla, vi un hipervínculo de “más información”, así que hice clic en él y obtuve esto a cambio.

Aquí puedo leer sobre el incidente, profundizar en los detalles y revisar los datos sin procesar detrás de este incidente, así como el JSON, que puedo copiar convenientemente en un portapapeles si es necesario.

Aquí es donde pensé que las cosas se pusieron un poco más interesantes. Si bien la presentación de los datos en Stellar Cyber ​​es fácil de entender y lógica, el verdadero poder del producto no fue evidente para mí hasta que hice clic en el botón “Acciones” en la pantalla de arriba.

Como puede ver, puedo realizar mis acciones de respuesta directamente desde esta pantalla, como “agregar un filtro, activar un correo electrónico o realizar una acción externa”. Al hacer clic en una acción externa, obtengo otra lista de selección. Cuando hago clic en Endpoint, obtengo una larga lista de opciones desde contener host hasta apagar host.

Al hacer clic en una acción, como contener host, aparece un cuadro de diálogo de configuración en el que puedo seleccionar el conector que se usará, el objetivo de la acción y cualquier otra opción necesaria para iniciar la acción elegida. Entonces, en resumen, puedo ver cómo los analistas de seguridad, especialmente los más jóvenes, encontrarán este flujo de trabajo muy útil ya que pueden a) profundizar fácilmente en los detalles de un incidente desde la pantalla de inicio, b) revisar aún más detalles profundizando en los datos, y c) tomar una acción de remediación desde esta pantalla sin escribir ningún script o jugar con un código.

Para los MSSP, podría ver la incorporación de nuevos analistas para trabajar en esta vista inicialmente para familiarizarlos con la plataforma y al mismo tiempo ayudarlos a cumplir con los acuerdos de nivel de servicio al cliente. Sin embargo, mi instinto me dice que hay mucho más que aprender sobre esta plataforma Stellar Cyber, así que veamos si hay otro camino para investigar incidentes.

Exploración de incidentes

Ahora, en lugar de hacer clic en Open XDR Kill Chain, voy a hacer clic en el elemento del menú “Incidentes” y obtendré esta pantalla a cambio.

Cuando hice clic en la zanahoria en el círculo azul, se expandió una lista de filtrado que me permitió concentrarme en un tipo específico de incidente. Como estoy en modo exploratorio, voy directamente al botón de detalles para ver qué puedo encontrar en esta vista de detalles.

Ahora puedo ver cómo ocurrió este incidente y cómo se propagó a través de múltiples activos. Además, puedo ver automáticamente los archivos, procesos, usuarios y servicios asociados con el incidente. Hay diferentes maneras de ver estos datos también. Por ejemplo, podría cambiar a la vista de línea de tiempo para obtener un historial legible de este incidente, como se muestra a continuación:

Cuando hago clic en la “i” pequeña, llego a una pantalla familiar.

Conozco la historia de aquí, lo cual es bueno.

Entonces, en resumen, puedo ver que a los analistas que están acostumbrados a trabajar desde una lista de alertas les puede gustar comenzar sus investigaciones desde la página de incidentes. Para los MSSP, esta vista también es beneficiosa, ya que muestra todos los incidentes de todos los inquilinos en una sola vista. Por supuesto, puede limitar esta vista por analistas, clientes, etc.

Caza de amenazas y acciones de respuesta en Stellar Cyber

En este momento, estoy convencido de que Stellar Cyber ​​ofrece un enfoque interesante para los MSSP que buscan optimizar sus operaciones de seguridad. Francamente, en este punto de mi revisión, no he tenido que escribir ningún script especial ni hacer nada más que hacer clic en algunos enlaces y desplazarme por algunas pantallas para responder hipotéticamente a algunas alertas desagradables, lo cual no es la norma para este tipo de productos. .

Antes de elogiar demasiado a Stellar Cyber, quería echar un vistazo a un par de otras características mencionadas, Threat Hunting y acciones de respuesta (también conocido como SOAR). Comencemos con la caza de amenazas. Cuando hago clic en “Caza de amenazas” en el menú, aparece esta pantalla.

Si bien estas estadísticas son interesantes, estoy buscando una amenaza accionable h; ahí es donde veo el cuadro de diálogo de búsqueda en la parte superior derecha. Escribo inicio de sesión y noto que las estadísticas cambian dinámicamente. Al desplazarme hacia abajo en la pantalla, también veo una lista de alertas que se han filtrado según mi término de búsqueda. Aquí veo la opción familiar “más información”, así que sé adónde me llevará.

También noté algo llamado “búsqueda de correlación” debajo del cuadro de diálogo de búsqueda. Cuando hago clic en eso, mi pantalla cambia a esto.

Puedo cargar una consulta guardada o agregar una nueva consulta. Al hacer clic en Agregar consulta, veo este generador de consultas. Esto me permite buscar esencialmente cualquier dato almacenado en Stellar Cyber ​​para, en teoría, encontrar amenazas que pasaron desapercibidas. También puedo acceder a la biblioteca de búsqueda de amenazas para acceder a consultas guardadas previamente.

También puede crear acciones de respuesta que se ejecutarán automáticamente si la consulta que crea arroja alguna coincidencia.

Entonces, en resumen, Stellar Cyber ​​ofrece una plataforma simple de caza de amenazas que no requiere que construyas tu propia pila ELK o que seas un poderoso programador de secuencias de comandos. Para los MSSP, puedo ver que esto es un buen valor agregado que pueden ofrecer a los clientes cuando se descubren amenazas emergentes en la naturaleza.

Conclusión

Stellar Cyber ​​es una sólida plataforma de operaciones de seguridad con muchas características para el usuario de MSSP. Si está buscando una nueva plataforma SecOps en el mercado, vale la pena echando un vistazo en lo que Stellar Cyber ​​tiene para ofrecer.



ttn-es-57