Alors que la complexité des menaces augmente et que les frontières d’une organisation ont pratiquement disparu, les équipes de sécurité sont plus que jamais confrontées au défi de fournir des résultats de sécurité cohérents. Une entreprise visant à aider les équipes de sécurité à relever ce défi est Cyber stellaire.
Stellar Cyber prétend répondre aux besoins des MSSP en fournissant des fonctionnalités généralement trouvées dans les produits NG-SIEM, NDR et SOAR dans leur plate-forme Open XDR, gérée avec une seule licence. Selon Stellar Cyber, cette consolidation signifie un temps de montée en puissance des analystes de sécurité plus rapide et une intégration des clients avec beaucoup moins de tâches manuelles intensives requises. Stellar Cyber compte actuellement plus de 20 des principaux fournisseurs MSSP parmi ses clients, assurant la sécurité de plus de 3 millions d’actifs. De plus, après le déploiement, les cyber-revendications stellaires permettent aux utilisateurs de voir un temps moyen de réponse (MTTR) jusqu’à 20 fois plus rapide, une affirmation audacieuse.
Nous avons récemment examiné de plus près la plate-forme Stellar Cyber Security Operations.
Avant que nous commencions
Avant de creuser dans la plate-forme, voici quelques choses que les MSSP doivent savoir sur Stellar Cyber :
- Fonctionne avec n’importe quel EDR : Stellar Cyber pourrait être classé comme Open XDR car il offre une visibilité sur les environnements de vos clients ; cependant, il ne s’agit pas d’une extension d’un produit EDR. Inversement, Stellar Cyber propose des intégrations prédéfinies à tous les principaux fournisseurs d’EDR, ce qui signifie que vos clients peuvent utiliser l’EDR de leur choix si vous utilisez Stellar Cyber.
- C’est Multi-Tenant : Stellar Cyber est une solution multi-tenant, ce qui signifie que les données de vos clients ne seront pas mélangées, vous permettant d’offrir vos services dans des régions spécifiquement concernées par la confidentialité des données. De plus, cette approche multi-location peut générer de meilleurs ratios analystes-clients. Dans certaines situations, le travail effectué pour un client peut être appliqué à un autre sans aucune perte d’intégrité des données.
Pour faciliter cet examen du produit, l’équipe de Stellar Cyber nous a donné accès à la version cloud de leur produit, donc après une brève présentation du produit fournie par une personne du support Stellar Cyber, nous nous sommes connectés au produit.
Répondre à un incident depuis la page d’accueil
Il s’agit de l’écran initial que vous voyez lorsque vous vous connectez à Stellar Cyber. Vous vous attendez à voir de nombreux éléments sur l’écran d’accueil de l’analyste, tels que les principaux incidents et les actifs les plus risqués. Une pièce intéressante sur cet écran est ce que Stellar Cyber appelle l’Open XDR Kill Chain. En cliquant sur n’importe quel segment de la chaîne de destruction, vous pouvez accéder aux menaces associées à cette partie de la chaîne d’attaque. Par exemple, j’ai cliqué sur « Tentatives initiales » pour accéder à cet écran.
Ici, je peux voir ces alertes avec l’étape « Tentatives initiales » définie automatiquement par Stellar Cyber. Plus bas dans le terrier du lapin, je vois plus d’informations sur l’alerte lorsque je clique sur « Afficher » sur l’une des alertes. Au départ, on m’a présenté quelques graphiques récapitulatifs, puis en faisant défiler un peu l’écran, j’ai vu un lien hypertexte « plus d’informations », alors j’ai cliqué dessus et j’ai obtenu ceci en retour.
Ici, je peux lire sur l’incident, creuser dans les détails et examiner les données brutes derrière cet incident ainsi que le JSON, que je peux facilement copier dans un presse-papiers si nécessaire.
C’est là que je pensais que les choses devenaient un peu plus intéressantes. Bien que la présentation des données dans Stellar Cyber soit facile à comprendre et logique, la véritable puissance du produit ne m’était pas évidente jusqu’à ce que je clique sur le bouton « Actions » sur l’écran ci-dessus.
Comme vous pouvez le voir, je peux effectuer mes actions de réponse directement à partir de cet écran, telles que « ajouter un filtre, déclencher un e-mail ou effectuer une action externe ». En cliquant sur une action externe, j’obtiens une autre liste de sélection. Lorsque je clique sur Endpoint, j’obtiens une longue liste d’options allant de contenir l’hôte à arrêter l’hôte.
Lorsque je clique sur une action, comme contenir l’hôte, une boîte de dialogue de configuration s’affiche dans laquelle je peux sélectionner le connecteur à utiliser, la cible de l’action et toute autre option requise pour lancer l’action choisie. Donc, en résumé, je peux voir comment les analystes de la sécurité, en particulier les juniors, trouveront ce flux de travail très utile dans la mesure où ils peuvent a) creuser facilement les détails d’un incident depuis l’écran d’accueil, b) examiner encore plus de détails en approfondissant dans les données, et c) effectuer une action corrective à partir de cet écran sans écrire de scripts ni bricoler un code.
Pour les MSSP, je pouvais voir l’intégration de nouveaux analystes pour travailler sur cette vue initialement pour les familiariser avec la plate-forme tout en aidant à respecter les accords de niveau de service client. Cependant, mon instinct me dit qu’il y a beaucoup plus à apprendre sur cette plate-forme Stellar Cyber, alors voyons s’il existe une autre voie pour enquêter sur les incidents.
Explorer les incidents
Maintenant, au lieu de cliquer sur Open XDR Kill Chain, je vais cliquer sur l’élément de menu « Incidents » et obtenir cet écran en retour.
Lorsque j’ai cliqué sur la carotte dans le cercle bleu, cela a élargi une liste de filtrage qui m’a permis de me concentrer sur un type d’incident spécifique. Comme je suis en mode exploratoire, je vais directement sur le bouton détails pour voir ce que je peux trouver dans cette vue détaillée.
Maintenant, je peux voir comment cet incident s’est produit et s’est propagé à travers plusieurs actifs. De plus, je peux voir automatiquement les fichiers, les processus, les utilisateurs et les services associés à l’incident. Il existe également différentes façons de visualiser ces données. Par exemple, je pourrais passer à la vue chronologique pour obtenir un historique lisible de cet incident, comme ci-dessous :
Lorsque je clique sur le petit « i », j’obtiens un écran familier.
Je connais l’histoire d’ici, ce qui est bien.
Donc, en résumé, je peux voir que les analystes qui ont l’habitude de travailler à partir d’une liste d’alertes peuvent aimer commencer leurs enquêtes à partir de la page des incidents. Pour les MSSP, cette vue est également avantageuse car elle affiche tous les incidents sur tous les locataires dans une seule vue. Bien sûr, vous pouvez limiter cette vue par analystes, clients, etc.
Chasse aux menaces et actions de réponse dans Stellar Cyber
À ce stade, je suis convaincu que Stellar Cyber offre une approche intéressante pour les MSSP qui cherchent à rationaliser leurs opérations de sécurité. Franchement, à ce stade de mon examen, je n’ai pas eu à écrire de scripts spéciaux ni à faire autre chose que de cliquer sur des liens et de faire défiler certains écrans pour répondre hypothétiquement à certaines alertes désagréables, ce qui n’est pas la norme pour ces types de produits. .
Avant de trop chanter les louanges de Stellar Cyber, je voulais jeter un œil à quelques autres fonctionnalités déclarées, la chasse aux menaces et les actions de réponse (alias SOAR). Commençons par la chasse aux menaces. Lorsque je clique sur « Threat Hunting » dans le menu, cet écran s’affiche.
Bien que ces statistiques soient intéressantes, je recherche une menace exploitable h ; c’est là que je vois la boîte de dialogue de recherche en haut à droite. Je tape login et remarque que les statistiques changent dynamiquement. En faisant défiler l’écran, je vois également une liste d’alertes qui ont été filtrées en fonction de mon terme de recherche. Ici, je vois l’option familière « plus d’informations », donc je sais où cela me mènera.
J’ai également remarqué quelque chose appelé « recherche de corrélation » sous la boîte de dialogue de recherche. Lorsque je clique dessus, mon écran change pour ceci.
Je peux charger une requête enregistrée ou ajouter une nouvelle requête. En cliquant sur la requête d’ajout, je vois ce générateur de requêtes. Cela me permet de rechercher essentiellement toutes les données stockées par Stellar Cyber pour trouver théoriquement des menaces qui sont passées inaperçues. Je peux également accéder à la bibliothèque de chasse aux menaces pour accéder aux requêtes précédemment enregistrées.
Vous pouvez également créer des actions de réponse qui s’exécuteront automatiquement si la requête que vous créez renvoie des correspondances.
Donc, en résumé, Stellar Cyber offre une plate-forme simple de chasse aux menaces qui ne vous oblige pas à créer votre propre pile ELK ou à être un scripteur puissant. Pour les MSSP, je peux voir qu’il s’agit d’une belle valeur ajoutée qu’ils peuvent offrir aux clients lorsque des menaces émergentes sont découvertes dans la nature.
Conclusion
Stellar Cyber est une plate-forme d’opérations de sécurité solide avec de nombreuses fonctionnalités pour l’utilisateur MSSP. Si vous êtes à la recherche d’une nouvelle plate-forme SecOps, cela vaut la peine Jeter un oeil à ce que Stellar Cyber a à offrir.