合作伙伴聚焦： Threat Stack 和 Squadcast 集成简化了警报，并提供更多背景信息

这是 Squadcast 与 Threat Stack 合作的客座文章

安全专业人员常常会被大量警报淹没，尤其是在云环境持续快速扩展的情况下。 事实上，在最近的SecOps 调查中，83% 的专业人士表示正在努力应对警报疲劳。 然而，背景才是最重要的，利用正确的工具和集成，您可以轻松地微调警报以获得更明智的见解，帮助您做出更明智的决策并更快地采取行动。 

在 Threat Stack，我们认识到向致力于降低关键 KPI（如 MTTK（平均知情时间）和 MTTR（平均响应时间））的网络安全专业人员提供最有意义的警报是多么重要。 通过与事件响应 (IR) 平台Squadcast等合作，我们能够为 Squadcast 用户提供 Threat Stack 行业领先的规则，让他们能够从实时风险和基于 ML 的异常检测中获得丰富的上下文强大洞察力。 我们还与 AWS 等领先的公共云提供商合作，无缝集成到您的云环境中，消除了在不同平台之间切换的麻烦。 

通过 Squadcast 和 Threat Stack 之间的合作和整合，客户可以将他们的警报汇总到不同的严重程度，以更好地了解他们环境中的风险。  

为什么全栈可观察性很重要

任何熟悉云基础设施的人都会明白，需要监控他们的系统以密切识别和应对风险。 对于网络犯罪分子来说，系统越来越分散、越来越复杂，并且越来越成为有利可图的目标。 因此，拥有能够帮助监控并快速识别和主动补救问题的工具至关重要。

例如，在 AWS 上拥有基础设施的公司可能会使用 AWS CloudWatch 等原生工具来实现基本监控目的。 然而，基本监控只能起到有限的作用，安全团队必须利用额外的专用工具来提供可观察性，即高级监控功能和更强的环境可视化能力。

Threat Stack 通过从云工作负载（包括基础设施层和应用层）收集丰富的遥测数据实现全栈可观察性，使安全团队能够快速发现可疑活动。

高级监控可实现丰富的上下文安全警报

快速解决安全和合规事件对于当今现代 SaaS 业务的成功至关重要。 如果网站或服务哪怕只有一分钟的宕机，都可能造成重大的收入损失、品牌声誉受损以及客户失去信任。 

这就是 Squadcast 等现代 IR 平台与 Threat Stack 的可观察性相结合发挥作用的地方。 如果发生事件，Threat Stack 的详细事件可以通过 Squadcast 发送给相应的用户。

当 Threat Stack 检测到安全风险和/或异常时，它会充当警报源并将其发送给 Squadcast。 利用站点可靠性工程 (SRE) 最佳实践，Squadcast 汇总并将这些警报路由给值班工程师。 然而，对于 SRE 和安全团队来说，他们只有在报告此类事件后才会采取行动。

可能有多个团队负责基础设施的不同组件。 由于 Squadcast 本身与各种应用性能监控 (APM)/日志记录和错误跟踪工具集成，它可以通过智能路由警报通知适当的团队并帮助他们实时协作处理 Squadcast 内的事件。

结合 Squadcast 和 Threat Stack 的力量

为了充分了解Squadcast + Threat Stack 集成的深度，我们以前面一个基础设施位于 AWS 上的客户为例。 在这种情况下，Threat Stack Cloud Security Platform® 会观察现代基础设施的各个层，以检测您环境中的各种行为。 结合 AWS CloudWatch，这些解决方案可以监控基础设施/应用堆栈并跟踪服务级别指标 (SLI) 和服务级别目标 (SLO)。 如果违反 SLO，则会向 Squadcast 平台发送警报。 

简而言之，每当 Threat Stack 平台出现警报时，就会发出为 Squadcast 配置的 Webhook 信号，并创建事件。 类似地，如果 Threat Stack 发送多个警报，Squadcast 平台可以组织和分组警报（重复数据删除） ，为致力于解决事件的用户提供完整的背景信息。 让我们来探讨一下为什么这是有益的。