Стежити 
Проблема: досягнення виявлення загроз у масштабі
У SOC Prime ми понад десятиліття полегшуємо інженерію виявлення для організацій будь-якого розміру. Щороку загрози множаться, а середовища стають все більш складними, традиційний підхід ставить керівників SOC у неймовірну позицію — відповідальність за покриття, якого вони не можуть досягти з наявними інструментами та командою. DetectFlow пропонує шлях до впровадження виявлень у масштабі без додаткового навантаження на інженерні ресурси. Ось що він вирішує:
- Ваша команда потопає в шумі, не знаходячи загроз: Хибні позитиви перевантажують аналітиків, і справжні сигнали губляться. Втома від сповіщень — це не проблема людей, це проблема систем
- Ваше покриття виявлення має жорсткі обмеження, які ви не можете обійти: Запуск менше 512 правил означає, що ваша команда має сліпі плями в матриці MITRE ATT&CK, які жодна кількість персоналу не може закрити
- До того часу, коли ваша команда помітить загрозу, нападник вже здійснив переміщення: Групове оброблення створює затримки виявлення, вимірювані в хвилинах або годинах, перетворюючи інцидент, що може бути обмежений, у злом
- Ваш бюджет на SIEM споживається даними, які вам не знадобились: Примусове отримання сирих журналів на масштабі терабайт призводить до витрат на зберігання, які неможливо обґрунтувати перед керівництвом
DetectFlow в дії: зменшення витрат і додавання швидкості
DetectFlow кардинально змінює економіку та швидкість виявлення загроз. Замість того, щоб отримувати сирий хаос і сортувати його пізніше, DetectFlow:
- стискає терабайти сирих журнальних даних у гігабайти чистих, позначених подій (миттєво, перед тим як вони досягають вашого SIEM).
- виявлення відбувається на льоту, на швидкості передачі даних, застосовуючи понад 50 000 правил у режимі реального часу та знижуючи середній час виявлення до 0,005–0,01 секунди
- вся конвейєр обробки даних контролюється та фільтрується перед отриманням, тому ваш SIEM отримує лише нормалізовані, позначені події, що пройшли попередню валідацію, що значно оптимізує ваші витрати на SIEM: ви платите за збереження та аналіз сигналу, а не шуму.
Угода: ланцюги атак, що розкривають повну історію
Там, де DetectFlow дійсно відрізняється, це як він відображає те, що має значення. Замість того, щоб передавати аналітикам тисячі несуміжних, малоконтекстних сповіщень для ручного кореляції, DetectFlow:
- згуртовує цей шум у чергу, пріоритетизовану за ланцюгами атак з високою ймовірністю, доповнену створеними AI керівними резюме, які конденсують гігабайти активності противника в ясне резюме.
- Інференція загроз відбувається в режимі реального часу, автоматично поєднуючи активність між різними векторами та іменами хостів без необхідності в ручному дослідженні.
- Вихід — це не список сповіщень, це рішення. Будь-який аналітик, незалежно від рівня досвіду, може негайно зрозуміти повний обсяг злому і негайно перейти до усунення проблеми.
Щоб дізнатися більше про DetectFlow , відвідайте нашу сторінку огляду.
FAQ
Як DetectFlow знижує витрати на SIEM?
DetectFlow розташовується вище вашого SIEM, обробляючи сирі потоки подій до їх отримання. Він стискає терабайти сирих журнальних даних на приблизно 7% від початкового обсягу, відфільтровуючи шум і передаючи лише нормалізовані, загрозопозначені події у ваш SIEM. В результаті витрати на ліцензування та зберігання SIEM розраховуються на основі сигналу, а не сирого обсягу. Для організацій, що отримують дані у масштабі, цієї зміни достатньо, щоб зробити різницю між стійким бюджетом на безпеку та таким, що не можна захистити перед фінансовим директором.
Що таке MTTD і як DetectFlow покращує його?
MTTD (середній час виявлення) — це показник того, скільки часу знадобиться вашій команді, щоб ідентифікувати активну загрозу після її початку. Традиційні архітектури SIEM покладаються на групову обробку, що означає, що запити на виявлення працюють із затримкою, часто 15 хвилин або більше після виникнення події. DetectFlow застосовує правила виявлення в режимі реального часу безпосередньо до потоку живих даних, зменшуючи MTTD до між 0,005 та 0,01 секунди. На практиці це різниця між упійманням нападаючого на першому етапі та виявленням злому після того, як вже сталася бічна переміщення.
Чому ми не можемо просто додати більше правил виявлення до нашого SIEM?
Більшість корпоративних SIEM мають жорстку операційну межу щодо кількості правил, які можуть працювати одночасно. Наприклад, Microsoft Sentinel обмежується 512 правилами. За межами цього ліміту, кожне додаткове правило додає навантаження на запити, уповільнює виявлення і збільшує витрати. DetectFlow виконує виявлення на рівні конвейєра за допомогою Apache Flink, де можна застосувати десятки тисяч правил Sigma одночасно без цих обмежень. Це дозволяє вашій команді закрити прогалини в покритті MITRE ATT&CK, які просто не можна усунути в архітектурі SIEM.
Чи замінює DetectFlow наш існуючий SIEM?
Ні. DetectFlow інтегрується з вашим існуючим SIEM, а не замінює його. Він знаходиться на рівні конвейєру Kafka перед отриманням, і ваш SIEM отримує чисті, заздалегідь збагачені, загрозопозначені події через ті ж з’єднувачі, які вже використовує. Ваші аналітики продовжують працювати у звичних панелях управління. Зміни, які вони помічають, це краща якість даних, менше хибних позитивів і швидші розслідування, а не новий інструмент для вивчення.
Що означає “Ланцюги атак” і чому це важливо для моєї команди?
Ланцюги атак — це те, як DetectFlow відображає корельовані загрози, а не індивідуальні сповіщення. Замість передачі тисяч ізольованих подій вашим аналітикам для ручного дослідження, DetectFlow використовує AI для згуртування пов’язаних дій між різними векторами й іменами хостів у єдину пріоритетизовану чергу з трьома реченнями керівного резюме про те, що робить супротивник. Для керівника SOC це означає, що ваша команда обробляє зв’язану історію про прогресуючу атаку, а не купу відокремлених сигналів, які вимагають годин дослідження перед тим, як картинка стане ясною.
