Nano [PDF]

Citation preview

Stellar Cyber 1.Introduction Open XDR adalah pendekatan terpadu yang didukung AI untuk deteksi dan respons, yang mengumpulkan dan menghubungkan semua alat keamanan yang ada, untuk melindungi seluruh permukaan serangan perusahaan secara efektif dan efisien. Satu-satunya cara untuk melakukannya dengan cara mengintegrasikan dengan alat keamanan yang ada. Secara arsitektur, Open XDR adalah tentang menyatukan dan menyederhanakan seluruh Security Stack untuk tujuan meningkatkan deteksi dan respons secara radikal. Security Stack akan terdiri dari berbagai kemampuan seperti SIEM, EDR, NDR, SOAR, dan lainnya. Kemampuan ini tidak pernah dirancang untuk bekerja satu sama lain, dan tim menghabiskan terlalu banyak waktu untuk mengelola beberapa alat, yang menyebabkan masalah saat ini – terlalu banyak alat, tidak cukup orang, bukan data yang tepat. Di situlah Open XDR masuk – menyatukan semua kemampuan bersama-sama, menghubungkan peringatan dari alat individual menjadi insiden holistik, menyederhanakan dengan mengurangi biaya administrasi. AI dan otomatisasi hadir sebagai satu-satunya cara yang layak secara teknis untuk melindungi seluruh permukaan serangan secara efektif dan efisien, itulah sebabnya ini adalah atribut arsitektur utama Open XDR. Hasil dari Open XDR adalah melindungi perusahaan Anda dari ancaman dari satu platform versus beberapa alat yang memiliki koneksi yang lemah atau tidak ada sama-sama membantu semuanya. Dan hasil akhir dari Open XDR adalah deteksi dan respons yang ditingkatkan secara radikal dengan harga yang terjangkau oleh perusahaan. Secara license Stellar menggunakan license volume yang diterima oleh traffic



LIMA PERSYARATAN DASAR XDR



1. Arsitektur layanan mikro asli cloud 2. Menormalkan & memperkaya data di seluruh cloud, titik akhir, jaringan, pengguna & aplikasi 3. Deteksi otomatis peristiwa keamanan dari NTA, UBA & EBA 4. Korelasi data keamanan & peringatan ke dalam insiden 5. Kemampuan respons insiden terpusat



Pada XDR berfokus pada open XDR platform dan ada beberapa manfaat firewall, IAM, EDR, dan VA Pada dashboard stellar cyber terdapat menu lockhead cyber security killchain diantaranya 1. Reconnaissance



pada tab ini terdapat target identifikasi dan vulnerability research 2. Delivery pada tab ini terdapat mendeteksi tujuan attack pada suatu target 3. Exploitation pada tab ini terdapat serangan yang dipicu ke target 4. Installation pada tab ini terdapat attack yang terinstalled pada target 5. Command and Control pada tab ini pendeteksian dari mana attack itu berada 6. Action on Objectives pada tab ini terdapat pengesekkusian data



Contoh dari attack recon biasanya terdidiri dari ip/port scan anomaly, phising URL detection, phising site from email, dan scanner behaviour anomaly



pada menu utama stellar cyber terdapat menu Collect,Detect,Investigate,dan Respond 1. Pada tab collect befungsi sebagai pengumpulan informasi terkait attack dari netwrok, server dan log data dan log data berformat JSON 2. Pada tab detect untuk mendeteksi peristiwa yang meliputi lalu lintas jaringan, aktivitas pengguna, dan log peristiwa 3. pada tab investigate berfungsi sebagai pendeteksi secara terperinci dan panoramic dan gabungan semua aktivitas 4. pada tab ini memberikan semua cakupan informasi dalam bentuk report dari semua aktivitas



2. Architecture Pada platform XDR melakukan akuisisi data, agregasi, dan analitik keamanan Pada platform stellar cyber memiliki 2 komponen utama yaitu Data Processor (DP) dan Data Sensors (DS) Terdapat beberapa fungus dari kedua komponen tersebut 1. Data Processor (DP) berfungsi sebagai penerima data, penghubung data, dan memperkaya analisis pada data dan pada data ini terdapat UI yang berfungsi sebagau Threat Hunting, Forensic Analysis, dan Network Traffic Investigation. Memiliki analisis data yang realtime dan bersifat historical, menerima data client yang masih bisa dijangkau oleh DP, dan memeberikan data output ke data sink. Terdapat 2 komponen yaitu Data Lake yang berfungsi sebagai menyimpan data dari mesin, memanage config dari beberapa perangkat. Data Analyzer menerima segala data yang masuk kedalam perangkat Data Lake dan mengeluarkan output yang disinkronisasi dengan splunk, kafka, dan elasticsearch 2. Data Sensors berfungsi sebagai pengumpulan semua jenis data dari sensor jaringan, sensor keamanan, sensor server (windows dan linux), container sensor (Docker), cloning sensor atau sensor untuk menipu (honeypot), kolektor log, dan connector Pada stelar cyber memiliki beberapa sensor yaitu 1. Network Sensor memiliki fungsi sebagai mengcapture traffic dan menforward log, NS sendiri bisa dalam bentuk Physical ataupun VM. Selain itu NS juga bisa meneruskan traffic security dalam bentuk malware dan IDS ke security sensor dan juga bisa menjadi alternatif Ketika DP tidak berfungsi maka sensor ini dapat menggantikan tugasnya meskipun hanya sebentar. 2. Security Sensor memiliki fungsi sebagai pendeteksi dari malware dan IDS yang berasal dari network 3. Linux Sensor memiliki fungsi sebagai sensor yang mendeteksi process, command, dan file yang mencurigakan yang berasal dari network 4. Windows Sensor memiliki fungsi sebagai penerima dan penerus dari log windows ke perangkat 5. Container Sensor memiliki fungsi sebagai mendeteksi adanya proses penulisan command, penghapusan data dan pembuatan data. 6. Deception Sensor memiliki fungsi sebagai pendeteksi adanya proses penulisan command, penghapusan data dan pembuatan data dari linux sensor dan dari honeypot 7. Connectors salah satu part dari open XDR yang memiliki data analyzer dari cloud target Connectors berfungsi sebagai penyedia fungsionalitas dari suatu koleksi atau respond, untuk mengkoneksikan connectors melalui sebuah sensor keamanan atau jaringan dan dari cloud itu sendiri Didalam sebuah interflow dapat menampilkan eventscore, detail dari request dan respon, dan dapat dicari dan dibaca melalui suatu serangan Pada UI Overview terdapat menu collect, detect, Investigate, dan Respond



Menu collect terdapat sebuah sensor, connector, receiver, filter data, dan mengcustom log Menu Detect terdapat sebuah menu utama dari stellar yaitu kill chain Menu Investigate berfungsi sebagai mengidentifikasi sebuah asset dan user, dan memonitoring service dan network Menu respond berfungsi sebagai pembuatan report, melihat respon dari sebuah aksi,