Prima di Iniziare con Stellar Cyber e le Sue Caratteristiche e Capacità Chiave

Proviamo a capire cos'è un XDR, quali sono le sue funzionalità e capacità.

XDR

XDR sta per extended Detection response; è uno strumento che aiuta le aziende a proteggersi dagli attacchi informatici raccogliendo informazioni da diverse parti della loro rete (come computer, e-mail, applicazioni e servizi cloud) e centralizzandole in un unico luogo.

Immagini di avere un sistema di sicurezza a casa: un allarme alla porta, uno alle finestre e telecamere all'esterno. Ognuno di questi dispositivi può rilevare un'anomalia, ma potrebbe non comunicare con gli altri. L'XDR è come un sistema di sicurezza intelligente che collega tutti questi dispositivi, in modo che, se si verifica un'intrusione, il sistema sappia esattamente dove essa avviene e possa reagire rapidamente, indipendentemente dal punto d'accesso.

Punti Chiave su XDR:

1. Osserva tutto: Raccoglie e monitora dati provenienti da computer, reti, servizi cloud e e-mail, il tutto in un unico posto.
2. Individua le minacce più rapidamente: Utilizza tecnologie intelligenti (come l'IA) per rilevare rapidamente eventuali problemi, anche se l'attacco si estende su differenti aree (per esempio, e-mail, computer e rete).
3. Risponde automaticamente: Quando rileva una minaccia, può agire in autonomia, ad esempio bloccando l'accesso per prevenire ulteriori danni.
4. Semplifica il lavoro dei team di sicurezza: Invece di utilizzare strumenti separati per ogni segmento, l'XDR li integra, risparmiando tempo e rendendo il processo di sicurezza più efficiente.

In sintesi:

L'XDR è uno strumento che rende la cybersecurity più semplice ed efficace, combinando dati da fonti diverse, rilevando gli attacchi più rapidamente e reagendo tempestivamente per prevenire danni.

Che Cos'è Stellar Cyber?

Stellar Cyber Open XDR è una piattaforma per la rilevazione e risposta alle minacce end-to-end, che integra più capacità – NG-SIEM, NDR, TIP, IDS, SOAR e UEBA – in un'unica esperienza utente.

Stellar Cyber consente ai team di sicurezza di ottenere una visibilità completa sugli ambienti IT, OT e di sicurezza, con una rilevazione e una risposta automatizzate su tutte le fonti di dati. Questo permette di individuare più alert in tempi rapidi, di preparare le operazioni di sicurezza per il futuro e di liberare risorse umane per attività di sicurezza più proattive.

Stellar Cyber è una piattaforma unificata per le operazioni di sicurezza che fornisce un punto centrale per raccogliere e organizzare le informazioni sulle minacce, integrando dati chiave, strumenti e alert per l'analisi. La piattaforma automatizza anche la rilevazione delle minacce (utilizzando intelligenza artificiale e machine learning) e la risposta (attraverso la caccia automatizzata alle minacce), riducendo il rumore informativo e permettendo di concentrarsi sulle minacce reali. Inoltre, è possibile istruire il sistema in modo che presenti solo le informazioni rilevanti.

Per Capirlo Meglio in Termini Semplici:

Pensi a Stellar Cyber come a un sistema di telecamere di sicurezza super intelligente, ma dedicato ai computer e alle attività online della sua azienda. Esso monitora tutto ciò che avviene in rete – chi ci accede, cosa viene scaricato e se qualcosa sembra sospetto. Se accade un evento negativo, come il tentativo di un hacker di violare il sistema o la diffusione di un virus, il sistema avverte immediatamente i responsabili affinché possano intervenire prima che si verifichino danni. In sostanza, offre alle aziende una protezione contro le minacce digitali senza richiedere competenze tecnologiche avanzate, fungendo da guardiano high-tech per i loro asset digitali.

Capacità:

1. Sensori (inclusa l'ispezione approfondita dei pacchetti, IDS, Sandbox per Malware; per NDR)
2. Integrazioni bidirezionali
3. Data Lake / Modellazione dei dati
4. Motore IA
5. Intelligenza sulle minacce
6. Risposta automatizzata

Sistema Aperto:

Centinaia di integrazioni con altri strumenti, prodotti e fonti di dati, inclusi:

1. Tutti i principali EDR supportati
2. Tutti i principali provider cloud supportati
3. Tutti i principali provider di identità supportati

Casi d'Uso Principali di Stellar

Stellar Cyber Open XDR è una piattaforma modulare, il che significa che è possibile scegliere quali funzionalità e capacità sfruttare. Tuttavia, poiché la piattaforma è progettata specificamente per operazioni di sicurezza unificate (SecOps), risulta più efficace se implementata nella sua interezza. Ecco alcuni casi d'uso comuni per l'adozione di Stellar Cyber che apportano valore ai team di SecOps:

1. Piattaforma SOC
2. Sostituzione di un SIEM legacy
3. Integrazione con il SIEM
4. NDR

Terminologia di Stellar:

Storage a Freddo

Lo storage a freddo in Stellar Cyber consente di archiviare dati basati su snapshot provenienti dal Data Processor (DP) su un server separato per analisi successive. I dati possono essere importati nel DP operativo o in un DP forense dedicato. Questo tipo di storage viene utilizzato per l'archiviazione a lungo termine, spostando i dati su livelli di archiviazione a costi inferiori in soluzioni come AWS S3 e Microsoft Azure.

In termini semplici, lo storage a freddo in Stellar significa mantenere il proprio XLM (la criptovaluta di Stellar) offline, lontano da Internet, per proteggerlo dagli hacker. È come custodire i propri fondi in una cassaforte situata in una camera blindata, lontano da potenziali ladri online.

Connettori

Nell'ambito delle soluzioni di gestione e archiviazione dati di Stellar Cyber, i connettori sono metodi per raccogliere informazioni da fonti esterne e compilarle in record Interflow, che vengono poi indicizzati e archiviati nel Data Lake. Questi connettori vengono sviluppati in base ai metodi di accesso offerti da ciascuna fonte esterna, generalmente tramite API, e vengono eseguiti sul Data Processor (DP) per recuperare attivamente le informazioni secondo una programmazione prestabilita. Inoltre, possono rispondere ad azioni come il blocco di un firewall o la disabilitazione di utenti, e vengono configurati con indirizzi IP e credenziali di autorizzazione.

In termini semplici, i connettori funzionano come prese che consentono alle diverse parti di un sistema di sicurezza di inviare le proprie informazioni a Stellar Cyber, migliorando così il monitoraggio e la protezione contro le minacce informatiche.

Data Lake (DL)

Il Data Lake è il repository in cui Stellar Cyber archivia le informazioni. I dati sono organizzati in indici, ovvero categorie che raggruppano le informazioni, rendendo la ricerca più efficiente ed efficace. Un indice "raw" contiene i dati esattamente come vengono raccolti dai sensori o collector, mentre un indice di sicurezza contiene dati arricchiti derivati da uno o più indici raw. Il Data Lake è un componente centrale del sistema Stellar Cyber e può essere configurato in un cluster con un nodo master e nodi worker per accrescere la capacità e garantire la tolleranza agli errori.

In termini semplici, immaginate il Data Lake come un'enorme piscina in cui vengono depositati tutti i dati relativi alla sicurezza, che poi possono essere ordinati, analizzati e utilizzati per identificare eventuali minacce o problemi. Il principale vantaggio consiste nell'avere tutte le informazioni in un unico luogo, facilitando la ricerca e l'analisi dell'attività in una rete o sistema.

Data Analyzer (DA)

Il Data Analyzer (DA) è uno dei componenti principali all'interno di un Data Processor di Stellar Cyber. È responsabile dell'acquisizione dei dati dai sensori e dai connettori e del loro arricchimento. Ogni installazione deve disporre di almeno un DA, potendone essere aggiunti altri per aumentare la capacità e garantire l'alta disponibilità. Le istanze del DA possono essere configurate tramite Profili del Data Analyzer che contengono parametri di configurazione riutilizzabili. Il DA fa parte di un'architettura multi-node e multi-cluster che assicura scalabilità e affidabilità.

In termini semplici, considerate il Data Analyzer come un investigatore che esamina grandi volumi di informazioni per rilevare eventuali anomalie, evitando così una revisione manuale e segnalando prontamente situazioni preoccupanti.

L'Aggiornamento 5.4.0

Stellar Cyber ha annunciato il rilascio della versione 5.4.0 della sua piattaforma Open XDR il 27 gennaio 2025, introducendo una serie di miglioramenti volti a ottimizzare la rilevazione delle minacce, la generazione dei report e l'usabilità del sistema.

Punti Salienti di Stellar Cyber 5.4.0:

1. Report Avanzati e Analisi Approfondite:
2. La piattaforma dispone ora di un robusto motore di reportistica che consente agli utenti di generare report PDF dettagliati.
3. Un nuovo scheduler offre un controllo granulare sulla consegna dei report, migliorando il monitoraggio e la comunicazione delle metriche di sicurezza.
4. Intelligenza sulle Minacce Estesa:
5. È stato aggiunto il supporto per gli hash dei file, fornendo una comprensione più approfondita delle attività malevoli note e rafforzando le capacità di rilevazione delle minacce.
6. Modalità Silenziosa Unificata:
7. Ora è disponibile un'esperienza coerente in modalità silenziosa per le rilevazioni basate su regole, il machine learning e le integrazioni di terze parti, permettendo ai team di sicurezza di ottimizzare le strategie senza generare un numero eccessivo di alert.
8. Osservabili Migliorati in Email e Cloud:
9. Visualizzazioni migliorate e una migliore correlazione dei dati offrono una comprensione più chiara delle narrative delle minacce, soprattutto in ambienti e-mail e cloud.
10. Correlazione Affinata dei Domain Controller:
11. La logica di correlazione è stata aggiornata affinché i Domain Controller siano evidenziati solo quando rilevanti, riducendo così le distrazioni causate da eventi di autenticazione routinari.
12. Rilevazione degli Attacchi Windows Basata sulla Rete:
13. La piattaforma può ora analizzare il traffico SMB per rilevare comportamenti sospetti senza richiedere un sensore su un server Windows, rafforzando la protezione contro attacchi mirati a sistemi Windows.
14. Conservazione della Cronologia delle Posizioni e Alert per la Creazione di Account:
15. Nuove funzionalità consentono di monitorare movimenti insoliti degli utenti e picchi improvvisi nella creazione di account, aiutando a rilevare precocemente rischi emergenti.
16. Forwarding dei Log per Workstation:
17. È ora supportato un forwarding leggero dei log da sistemi operativi Windows di tipo workstation, facilitando implementazioni a basso impatto tramite syslog sui sensori Windows Server.
18. Filtri di Alert per Gruppi di Tenant:
19. Gli amministratori possono creare filtri per escludere alcuni alert e applicarli in blocco a più gruppi di tenant, ottimizzando la gestione degli alert su scala aziendale.
20. Notifiche dal System Action Center:
21. La piattaforma ora supporta l'invio di notifiche individuali dal System Action Center per ogni evento corrispondente, anziché riepiloghi consolidati, consentendo così alert più precisi.
22. Nuovi Connettori:
23. Stellar Cyber ha ampliato le sue capacità di integrazione con nuovi connettori per FortiEDR, Juniper Mist, WithSecure Elements, Abnormal Security Email Security, Versa Networks Concerto, AWS Inspector, Trend Micro Email Security, NetFoundry, Fortra Frontline e Google Cloud Security Command Center.

Azioni Richieste:

Si raccomanda agli utenti di passare alla configurazione basata sull'intervallo di tempo per le query che si basano sulla funzione di limite temporale, al fine di migliorarne l'efficienza. Inoltre, per supportare i nuovi processi che abilitano o disabilitano determinate funzionalità e correzioni, assicurarsi che i componenti del Data Lake (DL) e del Data Analyzer (DA), così come i browser web degli utenti, possano stabilire connessioni HTTPS con domini specifici di Stellar Cyber. In assenza dell’accesso a tali URL, la piattaforma funzionerà, ma alcune funzionalità e correzioni potrebbero non essere disponibili.

Cambiamenti Comportamentali:

La logica di correlazione per i Domain Controller è stata affinata per evitare che vengano evidenziati durante le normali attività di autenticazione, riducendo così alert non necessari.

Per un elenco completo delle modifiche, comprese le funzionalità deprecate, i miglioramenti nella rilevazione e nel machine learning, le ottimizzazioni in termini di usabilità, gli aggiornamenti della piattaforma, le aggiunte di sensori e connettori, le modifiche ai parser, le note operative, le problematiche risolte e quelle note, si consiglia di consultare le note complete della versione.

Stellar Cyber 5.4.0 rappresenta un notevole avanzamento nelle capacità della piattaforma, offrendo agli utenti strumenti e integrazioni potenziati per rafforzare la loro posizione in materia di cybersecurity.

Riferimento: Note di Rilascio Stellar Cyber 5.4.0

Autori: Wafa Haoues, Sneha Bangalore, Emma Vappereau