Antes de empezar con Stellar Cyber y sus Características y Capacidades Clave

Intentemos comprender qué es un XDR, sus funcionalidades y capacidades.

XDR

XDR significa extended Detection response; es una herramienta que ayuda a las empresas a protegerse de ciberataques al recopilar información de distintas partes de su red (como computadoras, correos electrónicos, aplicaciones y servicios en la nube) y centralizarla en un solo lugar.

Imagine que tiene un sistema de seguridad en su hogar: una alarma en la puerta, otra en las ventanas y cámaras en el exterior. Cada una puede detectar algo, pero puede que no se comuniquen entre sí. XDR es como un sistema de seguridad inteligente que conecta todos esos dispositivos, de modo que, si se produce una intrusión, el sistema sabe exactamente dónde ocurre y puede reaccionar rápidamente, sin importar dónde se produzca la violación.

Puntos Clave Sobre XDR:

1. Observa todo: Recopila y supervisa datos de computadoras, redes, servicios en la nube y correos electrónicos, todo en un solo lugar.
2. Detecta amenazas más rápido: Utiliza tecnología inteligente (como inteligencia artificial) para identificar problemas rápidamente, incluso si el ataque se extiende a diferentes áreas (por ejemplo, correo, computadora y red).
3. Responde de forma automática: Cuando detecta una amenaza, puede actuar de forma autónoma, como bloquear el acceso para evitar daños adicionales.
4. Facilita el trabajo de los equipos de seguridad: En lugar de contar con herramientas separadas para cada segmento, XDR integra todo, ahorrando tiempo y haciendo el proceso de seguridad más fluido.

En resumen:

XDR es una herramienta que hace la ciberseguridad más sencilla y eficaz al combinar datos de diversas fuentes, detectar ataques de forma más ágil y reaccionar rápidamente para prevenir daños.

¿Qué es Stellar Cyber?

Stellar Cyber Open XDR es una plataforma para la detección y respuesta a amenazas de extremo a extremo, que integra múltiples capacidades – NG-SIEM, NDR, TIP, IDS, SOAR y UEBA – en una única experiencia de usuario.

Stellar Cyber permite a los equipos de seguridad obtener una visibilidad completa sobre sus entornos de TI, OT y de seguridad, con detección y respuesta automatizadas en todas las fuentes de datos. Esto les permite identificar más alertas en menos tiempo, preparar sus operaciones de seguridad para el futuro y liberar recursos humanos para ocuparlos en tareas de seguridad más proactivas.

Stellar Cyber es una plataforma unificada para operaciones de seguridad, que ofrece un punto central para recopilar y organizar la información sobre amenazas, integrando datos clave, herramientas y alertas para su análisis. Además, automatiza tanto la detección de amenazas (utilizando inteligencia artificial y aprendizaje automático) como la respuesta (a través de la caza automatizada de amenazas). Esto ayuda a reducir el exceso de información, asegurando que no se sature el sistema y permitiendo concentrarse en las amenazas reales. Incluso es posible entrenar la herramienta para presentar únicamente la información que realmente le interesa.

Para entenderlo mejor en términos simples:

Imagine Stellar Cyber como un sistema de cámaras de seguridad de alta tecnología, pero para las computadoras y actividades en línea de su empresa. Vigila todo lo que ocurre en la red: quién la visita, qué se descarga y si algo resulta sospechoso. Si ocurre algún incidente, como un intento de intrusión o la propagación de un virus, alerta rápidamente a los responsables para que puedan actuar antes de que se produzcan daños. Así, ayuda a las empresas a protegerse de los peligros online sin necesidad de ser expertos en tecnología. En esencia, es como contar con un guardián tecnológico que protege sus activos digitales.

Capacidades:

1. Sensores (incluye inspección profunda de paquetes, IDS, Sandbox de malware; para NDR)
2. Integraciones bidireccionales
3. Data Lake / Modelado de datos
4. Motor de IA
5. Inteligencia de amenazas
6. Respuesta automatizada

Sistema Abierto:

Cientos de integraciones con otras herramientas, productos y fuentes de datos, incluyendo:

1. Todos los principales EDR compatibles
2. Todos los principales proveedores de Cloud compatibles
3. Todos los principales proveedores de identidad compatibles

Principales Casos de Uso de Stellar

Stellar Cyber Open XDR es una plataforma modular, lo que significa que se pueden elegir las funcionalidades y capacidades a implementar. No obstante, dado que la plataforma está diseñada para operaciones de seguridad unificadas (SecOps), se aprovecha de manera óptima cuando se despliega en su totalidad. A continuación, algunos de los casos de uso comunes para implementar Stellar Cyber y aportar valor a los equipos de SecOps:

1. Plataforma SOC
2. Sustitución de un SIEM heredado
3. Complemento al SIEM
4. NDR

Términos de Stellar:

Almacenamiento en Frío

El almacenamiento en frío en Stellar Cyber permite conservar datos basados en capturas instantáneas provenientes de su Procesador de Datos (DP) en otro servidor para análisis posteriores. Puede importar los datos almacenados en su DP operativo o en un DP forense dedicado. Se utiliza para el almacenamiento a largo plazo y consiste en trasladar los datos a niveles de archivo de menor coste en soluciones de almacenamiento como AWS S3 y Microsoft Azure.

En términos simples, el almacenamiento en frío en Stellar significa mantener su XLM (la criptomoneda de Stellar) offline, lejos de Internet, para protegerlo de los hackers. Es como guardar su dinero en una caja fuerte, resguardada en un bóveda, lejos de los posibles ladrones online, haciendo que sea mucho más difícil robarlo.

Conectores

En el contexto de la gestión y almacenamiento de datos de Stellar Cyber, los conectores son métodos para recopilar información de fuentes de datos externas y compilarla en registros Interflow que se indexan y almacenan en el Data Lake. Estos conectores se desarrollan utilizando los métodos de acceso proporcionados por cada fuente, habitualmente mediante una API. Se ejecutan en el Procesador de Datos (DP) para obtener información de manera activa siguiendo un horario predefinido. Además, pueden reaccionar a acciones como bloquear un firewall o deshabilitar usuarios. Se configuran con direcciones IP y credenciales para acceder a las fuentes de datos.

En términos simples, los conectores son como enchufes que permiten que las diferentes partes de un sistema de seguridad envíen su información a Stellar Cyber, facilitando una mejor monitorización y protección, y asegurando que todos los elementos de la red de seguridad trabajen conjuntamente contra posibles amenazas cibernéticas.

Data Lake (DL)

El Data Lake es el repositorio donde Stellar Cyber almacena la información. Los datos se organizan en índices, que son categorías utilizadas para agrupar la información, haciendo la búsqueda más eficiente y eficaz. Un índice «raw» almacena los datos tal como los reciben los sensores o recolectores, mientras que un índice de seguridad contiene datos enriquecidos a partir de uno o varios índices raw. El Data Lake es un componente central en el sistema Stellar Cyber, y puede configurarse en un clúster con un nodo maestro y nodos de trabajo para aumentar la capacidad y asegurar la tolerancia a fallos.

En términos simples, imagine un Data Lake como una gran piscina donde se descargan todos los datos de seguridad, los cuales se pueden ordenar, analizar y utilizar para identificar amenazas o problemas. La ventaja principal es tener todo en un solo lugar, lo que facilita la búsqueda y el análisis de lo que ocurre en una red o sistema.

Data Analyzer (DA)

El Data Analyzer (DA) es uno de los componentes principales dentro de un Procesador de Datos de Stellar Cyber. Es el encargado de ingerir los datos provenientes de sensores y conectores, y de enriquecerlos. Cada instalación debe contar con al menos un DA, pudiendo añadirse más para aumentar la capacidad y asegurar alta disponibilidad. Las instancias se pueden configurar mediante Perfiles de Data Analyzer que almacenan parámetros de configuración en un paquete reutilizable. El DA forma parte de una arquitectura multinodo y en clúster que garantiza escalabilidad y fiabilidad.

En términos simples, piense en el Data Analyzer como un detective que analiza grandes volúmenes de datos para identificar si algo anómalo ocurre, evitando que tenga que hacerlo manualmente, y alertándolo cuando detecta algo preocupante.

La Actualización 5.4.0

Stellar Cyber ha anunciado el lanzamiento de la versión 5.4.0 de su plataforma Open XDR el 27 de enero de 2025, presentando una serie de mejoras orientadas a optimizar la detección de amenazas, la elaboración de reportes y la usabilidad del sistema.

Puntos Destacados de Stellar Cyber 5.4.0:

1. Reportes Avanzados e Insights:
2. La plataforma incorpora un robusto motor de reportes que permite generar informes detallados en PDF.
3. Un nuevo planificador proporciona un control granular en la entrega de informes, mejorando la monitorización y comunicación de las métricas de seguridad.
4. Inteligencia de Amenazas Ampliada:
5. Se ha añadido el soporte para hash de archivos, ofreciendo un análisis más profundo de actividades maliciosas conocidas y reforzando la capacidad de detección de amenazas.
6. Modo Silencioso Unificado:
7. Ahora existe una experiencia coherente en modo silencioso para las detecciones basadas en reglas, aprendizaje automático e integraciones de terceros, permitiendo a los equipos ajustar las estrategias sin generar alertas excesivas.
8. Observables Mejorados en Email y Cloud:
9. Visualizaciones mejoradas y mejor correlación de datos ofrecen una comprensión más clara de las narrativas de amenaza, sobre todo en entornos de correo y en la nube.
10. Correlación Refinada de Controladores de Dominio:
11. La lógica de correlación se ha ajustado para resaltar los controladores de dominio solo cuando es relevante, reduciendo las distracciones por eventos de autenticación rutinarios.
12. Detección de Ataques Windows Basada en Red:
13. La plataforma puede analizar el tráfico SMB para detectar comportamientos sospechosos sin la necesidad de un sensor en un servidor Windows, fortaleciendo la defensa ante ataques dirigidos a sistemas Windows.
14. Retención del Historial de Ubicaciones y Alertas por Creación de Cuentas:
15. Nuevas funciones permiten rastrear movimientos inusuales de usuarios y picos repentinos en la creación de cuentas, ayudando a detectar tempranamente riesgos emergentes.
16. Reenvío de Logs para Workstations:
17. Se ha incorporado el reenvío ligero de logs desde sistemas Windows de clase estación de trabajo, facilitando implementaciones con bajo impacto mediante syslog en sensores Windows Server.
18. Filtros de Alertas para Grupos de Inquilinos:
19. Los administradores pueden crear filtros para excluir alertas y aplicarlos de forma masiva en varios grupos de inquilinos, optimizando la gestión de alertas en toda la organización.
20. Notificaciones del Centro de Acción del Sistema:
21. La plataforma ahora envía notificaciones individuales desde el Centro de Acción del Sistema para cada evento, en lugar de resúmenes consolidados, permitiendo alertas más precisas.
22. Nuevos Conectores:
23. Stellar Cyber ha ampliado sus capacidades de integración con nuevos conectores para FortiEDR, Juniper Mist, WithSecure Elements, Abnormal Security Email Security, Versa Networks Concerto, AWS Inspector, Trend Micro Email Security, NetFoundry, Fortra Frontline y Google Cloud Security Command Center.

Acciones Requeridas:

Se recomienda a los usuarios pasar a la configuración basada en rango de tiempo para las consultas que dependen de la función de límite temporal, a fin de mejorar su eficiencia. Además, para apoyar los nuevos procesos que habilitan o deshabilitan funciones y correcciones, asegúrese de que los componentes del Data Lake (DL) y del Data Analyzer (DA), así como los navegadores web de los usuarios, puedan establecer conexiones HTTPS con dominios específicos de Stellar Cyber. Sin acceso a estas URLs, la plataforma funcionará, pero algunas funciones y correcciones podrían no estar disponibles.

Cambios en el Comportamiento:

La lógica de correlación para los controladores de dominio se ha refinado para evitar que se destaquen durante actividades rutinarias de autenticación, reduciendo de este modo alertas innecesarias.

Para una lista completa de las actualizaciones, incluyendo funciones obsoletas, mejoras en la detección y en el aprendizaje automático, mejoras de usabilidad, actualizaciones de la plataforma, adiciones de sensores y conectores, cambios en los analizadores, notas operativas, problemas resueltos y problemas conocidos, se recomienda consultar las notas completas de la versión.

Stellar Cyber 5.4.0 representa un avance significativo en las capacidades de la plataforma, ofreciendo a los usuarios herramientas e integraciones mejoradas para fortalecer su postura en ciberseguridad.

Referencia: Notas de la versión Stellar Cyber 5.4.0

Autores: Wafa Haoues, Sneha Bangalore, Emma Vappereau