製品レビュー: Stellar Cyber Open XDR プラットフォーム
メール ゲートウェイ企業から脅威インテリジェンス プラットフォームの開発者まで、ほぼすべてのベンダーが自社を XDR プレーヤーとして位置付けています。 しかし残念なことに、XDR をめぐる騒ぎは、購入者が自分に適した解決策を見つけることを困難にしています。
Stellar Cyber は Open XDR ソリューションを提供します。これにより、組織はセキュリティ スタックで必要なセキュリティ ツールを使用して、アラートとログを Stellar Cyber にフィードできます。 Stellar Cyber の「Open」アプローチは、同社のプラットフォームがあらゆる製品と連携できることを意味します。 その結果、セキュリティ チームは、Stellar Cyber Open XDR プラットフォームが引き続き機能するかどうかを気にすることなく、変更を加えることができます。
Stellar Cyber は、NG-SIEM、NDR、および SOAR 製品に通常見られる機能を Open XDR プラットフォームで提供し、単一のライセンスで管理することにより、リーン エンタープライズ セキュリティ チームのニーズに対応します。 この統合により、お客様はセキュリティ スタックの複雑さを解消できます。
Stellar Cyber サービスは、ヨーロッパ、アジア、オーストラリア、日本、韓国、アフリカにまたがるすべての主要業界の顧客に提供され、300 万を超える資産にセキュリティを提供しています。 さらに、Stellar Cyber は、導入後、平均応答時間 (MTTR) が最大 20 倍高速化されていると主張しています。
ホームページからのインシデントへの対応
Stellar Cyber にログインすると、最初の画面はアナリストのホーム画面になり、上位のインシデントやリスクの高い資産などの統計が表示されます。 この画面で興味深いのは、Stellar Cyber が Open XDR キル チェーンと呼んでいるものです。 「最初の試み」などのキル チェーンの任意のセグメントをクリックすると、攻撃チェーンのその部分に関連する脅威が表示されます。
例えば、ユーザーはこれらのアラートを、Stellar Cyberによって自動的に設定されたステージ「最初の試み」で見ることができます。 ユーザーは、アラートの [表示] をクリックすると、アラートに関する詳細情報を表示できます。 次に、画面を下にスクロールすると、ユーザーは「詳細」ハイパーリンクをクリックして、選択したアラートに関する詳細情報を表示できます。
ここで、ユーザーはインシデントについて読んで詳細を確認し、このインシデントの背後にある生データと、必要に応じてクリップボードにコピーできる JSON を確認できます。 さらに、「アクション」ボタンをクリックすると、ユーザーは他の強力なプラットフォーム機能を表示できます。
ユーザーは、この画面から「フィルターを追加する、電子メールをトリガーする、または外部アクションを実行する」などの応答アクションを実行できます。 外部アクションをクリックすると、追加の選択リストが表示されます。 ユーザーは [エンドポイント] をクリックして、ホストの収容からホストのシャットダウンまでのアクション オプションを表示できます。
ホストの収容などのアクションをクリックすると、ユーザーが使用するコネクタ、アクションのターゲット、および選択したアクションを開始するために必要なその他のオプションを選択できる構成ダイアログが表示されます。 要約すると、セキュリティ アナリスト、特に経験の浅いアナリストは、a) ホーム画面からインシデントの詳細をすばやく確認できる、b) データをさらに掘り下げてさらに詳細を確認できる、c) 分析を行うことができるという点で、このワークフローが非常に便利であることに気付くでしょう。 スクリプトやコードを記述することなく、この画面から修復アクションを実行できます。
企業は、新しいアナリストをこのビューで作業させてプラットフォームに慣れさせ、優先度の低いインシデントを処理して、他のアナリストがより重要なインシデントに取り組めるようにすることで、オンボーディングを支援できます。
インシデントの調査
[Open XDR Kill Chain] をクリックする代わりに、ユーザーが [Incidents] をクリックすると、以下の画面が表示されます。
ユーザーが青い円のニンジンをクリックすると、フィルター リストにより、ユーザーは特定の種類のインシデントに絞り込むことができます。 ユーザーは詳細ボタンに直接移動して、この詳細ビューの内容を確認できます。
ユーザーは、このインシデントがどのように発生し、複数のアセットに伝播したかを確認できます。 さらに、ユーザーは、インシデントに関連付けられたファイル、プロセス、ユーザー、およびサービスを自動的に表示できます。 したがって、たとえば、ユーザーはタイムライン ビューに切り替えて、このインシデントの読み取り可能な履歴を取得できます。
小さな「i」をクリックして、前に示した詳細画面に移動します。
要約すると、アラートのリストから作業することに慣れているアナリストは、インシデント ページから調査を開始することができます。 このビューは、このインシデントに関連付けられたすべてのアラートを 1 つのビューに自動的に表示するため、有益です。
Stellar Cyberにおける脅威ハンティング
ユーザーは上の画面から脅威ハントを開始できます。 検索ダイアログに「Login」などの用語を入力すると、画面上の統計が動的に変化します。 次に、画面を下にスクロールすると、検索用語に基づいてフィルター処理されたアラートのリストが表示されます。
ユーザーは、検索ダイアログ ボックスで「相関検索」を作成できます。
ユーザーは、保存されたクエリを読み込んだり、新しいクエリを追加したりできます。 クエリの追加をクリックすると、ユーザーはこのクエリビルダーを見ることができます。 このビルダーを使用すると、Stellar Cyber データストア全体で、見過ごされた脅威を検索できます。 ここで、ユーザーは脅威ハンティング ライブラリにもアクセスできます。
最後に、ユーザーは、クエリが一致を返した場合に自動的に実行される応答アクションを作成できます。
要約すると、Stellar Cyber は、ユーザーが独自の ELK スタックを構築したり、強力なスクリプターになる必要のないシンプルな脅威ハンティング プラットフォームを提供します。 この機能を使用すると、上級の脅威ハンターを雇うことなく、セキュリティ チームに脅威ハンティングの要素を簡単に追加できます。
結論
Stellar Cyber は、セキュリティ チームの生産性向上に役立つ多くの機能を備えた堅牢なセキュリティ オペレーション プラットフォームです。 新しい SecOps プラットフォーム を求めており、セキュリティへの新しいアプローチを(全体的または部分的に)採用することに前向きである場合は、Stellar Cyber が提供するものを検討する価値があります。 Stellar Cyber の詳細については、5 分間の製品ツアーをお試しください。