Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。
正如本系列第一部分所讨论的,Threat Stack 致力于对其用户界面 (UI)(包括警报上下文)进行有意义的更改,以进一步减少平均了解时间 (MTTK) 等关键安全指标。 这很重要,因为在识别潜在安全风险时,每分钟甚至每秒都至关重要。 然而,根据IBM 的数据,2020 年发现漏洞的平均时间为 207 天。 为了避免我们的客户陷入这个惊人的统计数据,我们对 UI 进行了根本性的新更改,以增强体验、提供更严格的安全性,进而减少 MTTK。 让我们探索一下。
当客户收到新警报通知并开始分类和响应工作流程时,Threat Stack Cloud Security Platform® 可以根据合规性和流程等常见指标对警报进行分组,然后创建热图和趋势图等可视化效果,以提供有关频率和数量的警报趋势洞察。 此外,相关事件与警报相关联,以提供活动轨迹来指导调查。
根据 Threat Stack 用户的反馈,我们认识到常见问题通常源于导航警报分类和调查。 因此,我们添加了新的警报上下文功能,标准化这些常见问题并默认为我们的用户提供主动答案。 警报上下文有助于快速准确地指导用户对高严重性警报进行调查。
为了适应我们的新警报环境,我们必须重新设计如何显示丰富的警报数据。 我们认识到必须扩展当前视图以便为我们的新功能腾出空间,该功能展示各种类型活动的事件发生,如警报突出显示、新可视化和表格。 因此,我们从在水平抽屉视图中显示警报转变为在更宽敞、更现代的垂直抽屉视图中显示警报,允许用户查看相关警报详细信息,同时查看高级警报表。
我们能够利用额外空间添加的新功能之一是警报突出显示。 此新功能可以通过与警报相关的历史活动摘要来补充时间点上下文。 这将为我们的用户提供有关基础设施、用户和流程活动的背景信息,为过去一个月的安全调查提供重要指导。
例如,Threat Stack 无需浏览与特定用户活动相关的大量事件,而是提供警报本身的摘要,如下所示:
Threat Stack 云安全平台上特定用户警报突出显示的示例
我们的可视化上方还出现了亮点,以人类可读的格式总结与用户、代理或流程行为相关的活动。 例如,以下内容将显示在显示特定用户活动的直方图可视化上方:
Threat Stack 云安全平台上单个用户行为摘要的示例
我们还推出了单页警报视图,为用户提供可视化效果,例如可以显示过去 30 天用户活动的直方图。 直方图是交互式的,允许用户放大并调查感兴趣日期的活动。 单页警报视图也可以深度链接并导出为 PDF,从而可以轻松地在组织内或与审计员共享感兴趣的警报(包括警报上下文)。
Threat Stack 云安全平台上包含示例数据的单窗格警报页面示例
我们最近对 Threat Stack 的 UI 进行了大量的更改,使客户能够无缝浏览和管理他们的警报。我们的目标是通过提供更多背景信息来减少 MTTK,以便用户可以在我们的平台上快速分类和调查警报。 这些更新只是我们对威胁堆栈警报设计迭代的开始。
Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。