Casi todos los proveedores, desde empresas de puertas de enlace de correo electrónico hasta desarrolladores de plataformas de inteligencia de amenazas, se están posicionando como jugadores de XDR. Pero desafortunadamente, el ruido alrededor de XDR hace que sea más difícil para los compradores encontrar soluciones que puedan ser adecuadas para ellos o, lo que es más importante, evitar las que no satisfagan sus necesidades.
Stellar Cyber ofrece una solución Open XDR que permite a las organizaciones utilizar cualquier herramienta de seguridad que deseen en su pila de seguridad, alimentando alertas e iniciando sesión en Stellar Cyber. El enfoque “abierto” de Stellar Cyber significa que su plataforma puede funcionar con cualquier producto. Como resultado, un equipo de seguridad puede realizar cambios sin preguntarse si la plataforma Stellar Cyber Open XDR seguirá funcionando.
Stellar Cyber responde a las necesidades de los equipos de seguridad empresarial esbeltos al proporcionar capacidades que normalmente se encuentran en los productos NG-SIEM, NDR y SOAR en su plataforma Open XDR, administrada por una sola licencia. Esta consolidación permite a los clientes eliminar la complejidad de la pila de seguridad.
Stellar Cyber brinda servicios a clientes en todas las industrias principales, con clientes en Europa, Asia, Australia, Japón, Corea del Sur y África, brindando seguridad para más de 3 millones de activos. Además, Stellar Cyber afirma que después de la implementación, los usuarios ven un tiempo medio de respuesta (MTTR) hasta 20 veces más rápido, una afirmación audaz.
Responder a un incidente desde la página de inicio
Al iniciar sesión en Stellar Cyber, la pantalla inicial es la pantalla de inicio del analista, que muestra estadísticas como los principales incidentes y los activos más riesgosos. Una pieza interesante en esta pantalla es lo que Stellar Cyber llama Open XDR Kill Chain. Al hacer clic en cualquier segmento de la cadena de eliminación, como “Intentos iniciales”, se muestran las amenazas asociadas con esa parte de la cadena de ataque.
Por ejemplo, el usuario puede ver estas alertas con la etapa “Intentos iniciales” configurada por Stellar Cyber automáticamente. El usuario puede ver más información sobre la alerta haciendo clic en “Ver” en cualquiera de las alertas. Luego, al desplazarse hacia abajo en la pantalla, el usuario puede hacer clic en el hipervínculo “más información” para ver más información sobre la alerta seleccionada.
Aquí, un usuario puede leer sobre el incidente, revisar los detalles y ver los datos sin procesar detrás de este incidente y el JSON, que se puede copiar a un portapapeles si es necesario. Además, al hacer clic en el botón “Acciones”, el usuario puede ver otras potentes funciones de la plataforma.
El usuario puede realizar acciones de respuesta desde esta pantalla, como “agregar un filtro, activar un correo electrónico o realizar una acción externa”. Al hacer clic en una acción externa, se muestra una lista de selección adicional. El usuario puede hacer clic en Endpoint para ver las opciones de acción desde contener host hasta host de apagado.
Al hacer clic en una acción, como contener host, se muestra un cuadro de diálogo de configuración en el que el usuario puede seleccionar el conector que desea usar, el destino de la acción y cualquier otra opción necesaria para iniciar la acción elegida. En resumen, los analistas de seguridad, especialmente los más jóvenes, encontrarán este flujo de trabajo muy útil porque pueden a) revisar rápidamente los detalles de un incidente desde la pantalla de inicio, b) ver aún más detalles profundizando en los datos y c) tomar una acción de remediación desde esta pantalla sin escribir ningún script o código.
La empresa puede ayudar a incorporar nuevos analistas haciéndolos trabajar en esta vista para familiarizarlos con la plataforma, manejando incidentes de baja prioridad para que otros analistas puedan trabajar en los incidentes más críticos.
Exploración de incidentes
En lugar de hacer clic en Open XDR Kill Chain, si el usuario hace clic en “Incidentes”, se muestra la siguiente pantalla.
Cuando el usuario hace clic en la zanahoria en el círculo azul, una lista de filtrado permite al usuario concentrarse en un tipo específico de incidente. El usuario puede ir directamente al botón de detalles para ver qué hay en esta vista de detalles.
El usuario puede ver cómo ocurrió este incidente y cómo se propagó a través de múltiples activos. Además, el usuario puede ver automáticamente los archivos, procesos, usuarios y servicios asociados con el incidente. Entonces, por ejemplo, el usuario podría cambiar a la vista de línea de tiempo para obtener un historial legible de este incidente.
Y haga clic en la “i” pequeña para acceder a la pantalla de detalles que se muestra anteriormente.
En resumen, los analistas que están acostumbrados a trabajar con una lista de alertas pueden querer comenzar sus investigaciones desde la página de incidentes. Esta vista también es beneficiosa, ya que muestra automáticamente todas las alertas asociadas con este incidente en una sola vista.
Caza de amenazas en Stellar Cyber
Los usuarios pueden iniciar una búsqueda de amenazas desde la pantalla de arriba. Las estadísticas en la pantalla cambian dinámicamente al escribir un término, como “iniciar sesión”, en el cuadro de diálogo de búsqueda. Luego, al desplazarse hacia abajo en la pantalla, los usuarios pueden ver una lista de alertas filtradas según el término de búsqueda.
Los usuarios pueden crear una “búsqueda de correlación” en el cuadro de diálogo de búsqueda.
Los usuarios pueden cargar una consulta guardada o agregar una nueva consulta. Al hacer clic en Agregar consulta, el usuario puede ver este generador de consultas. Este constructor permite una búsqueda en los almacenes de datos de Stellar Cyber en busca de amenazas que pasaron desapercibidas. Aquí el usuario también puede acceder a la biblioteca de caza de amenazas.
Finalmente, el usuario puede crear acciones de respuesta que se ejecutan automáticamente si la consulta devuelve coincidencias.
En resumen, Stellar Cyber ofrece una plataforma simple de búsqueda de amenazas que no requiere que los usuarios construyan su propia pila ELK o que sean expertos en secuencias de comandos. Esta característica es una manera fácil de agregar un elemento de búsqueda de amenazas a un equipo de seguridad sin contratar a un cazador de amenazas senior.
Conclusión
Stellar Cyber es una sólida plataforma de operaciones de seguridad con muchas funciones que podrían ayudar a un equipo de seguridad a mejorar la productividad. Si está buscando una nueva plataforma SecOps en el mercado y está abierto a adoptar (total o parcialmente) un nuevo enfoque de seguridad, vale la pena ver lo que ofrece Stellar Cyber. Para obtener más información sobre Stellar Cyber, pruebe el Recorrido del producto de 5 minutos.