博客

合作伙伴聚焦: Threat Stack 和 Squadcast 集成简化了警报,并提供更多背景信息

F5 缩略图
F5
2021 年 6 月 24 日发布

Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。

这是 Squadcast 与 Threat Stack 合作的客座文章

安全专业人员常常会被大量警报淹没,尤其是在云环境持续快速扩展的情况下。 事实上,在最近的SecOps 调查中,83% 的专业人士表示正在努力应对警报疲劳。 然而,背景才是最重要的,利用正确的工具和集成,您可以轻松地微调警报以获得更明智的见解,帮助您做出更明智的决策并更快地采取行动。 

在 Threat Stack,我们认识到向致力于降低关键 KPI(如 MTTK(平均知情时间)和 MTTR(平均响应时间))的网络安全专业人员提供最有意义的警报是多么重要。 通过与事件响应 (IR) 平台Squadcast等合作,我们能够为 Squadcast 用户提供 Threat Stack 行业领先的规则,让他们能够从实时风险和基于 ML 的异常检测中获得丰富的上下文强大洞察力。 我们还与 AWS 等领先的公共云提供商合作,无缝集成到您的云环境中,消除了在不同平台之间切换的麻烦。 

通过 Squadcast 和 Threat Stack 之间的合作和整合,客户可以将他们的警报汇总到不同的严重程度,以更好地了解他们环境中的风险。  

为什么全栈可观察性很重要

任何熟悉云基础设施的人都会明白,需要监控他们的系统以密切识别和应对风险。 对于网络犯罪分子来说,系统越来越分散、越来越复杂,并且越来越成为有利可图的目标。 因此,拥有能够帮助监控并快速识别和主动补救问题的工具至关重要。

例如,在 AWS 上拥有基础设施的公司可能会使用 AWS CloudWatch 等原生工具来实现基本监控目的。 然而,基本监控只能起到有限的作用,安全团队必须利用额外的专用工具来提供可观察性,即高级监控功能和更强的环境可视化能力。

Threat Stack 通过从云工作负载(包括基础设施层和应用层)收集丰富的遥测数据实现全栈可观察性,使安全团队能够快速发现可疑活动。


高级监控可实现丰富的上下文安全警报

快速解决安全和合规事件对于当今现代 SaaS 业务的成功至关重要。 如果网站或服务哪怕只有一分钟的宕机,都可能造成重大的收入损失、品牌声誉受损以及客户失去信任。 

这就是 Squadcast 等现代 IR 平台与 Threat Stack 的可观察性相结合发挥作用的地方。 如果发生事件,Threat Stack 的详细事件可以通过 Squadcast 发送给相应的用户。

当 Threat Stack 检测到安全风险和/或异常时,它会充当警报源并将其发送给 Squadcast。 利用站点可靠性工程 (SRE) 最佳实践,Squadcast 汇总并将这些警报路由给值班工程师。 然而,对于 SRE 和安全团队来说,他们只有在报告此类事件后才会采取行动。

可能有多个团队负责基础设施的不同组件。 由于 Squadcast 本身与各种应用性能监控 (APM)/日志记录和错误跟踪工具集成,它可以通过智能路由警报通知适当的团队并帮助他们实时协作处理 Squadcast 内的事件。

结合 Squadcast 和 Threat Stack 的力量

为了充分了解Squadcast + Threat Stack 集成的深度,我们以前面一个基础设施位于 AWS 上的客户为例。 在这种情况下,Threat Stack Cloud Security Platform® 会观察现代基础设施的各个层,以检测您环境中的各种行为。 结合 AWS CloudWatch,这些解决方案可以监控基础设施/应用堆栈并跟踪服务级别指标 (SLI) 和服务级别目标 (SLO)。 如果违反 SLO,则会向 Squadcast 平台发送警报。 

简而言之,每当 Threat Stack 平台出现警报时,就会发出为 Squadcast 配置的 Webhook 信号,并创建事件。 类似地,如果 Threat Stack 发送多个警报,Squadcast 平台可以组织和分组警报(重复数据删除) ,为致力于解决事件的用户提供完整的背景信息。 让我们来探讨一下为什么这是有益的。

 

集成云监控和事件响应平台的四大好处

更快的恢复时间: 实现最佳事件管理的第一步是在检测到事件时添加相关背景信息。 从威胁堆栈进入 Squadcast 的事件负载可以添加标签,以使警报更具上下文丰富性。 此类标签的示例包括事件优先级事件严重性环境名称等,它们为安全工程师在收到警报时提供了更多背景信息,有助于启动更快的事件响应并最终减少 MTTR。

提高事件透明度: 一般来说,提高透明度不仅可以改善事件管理和响应流程,而且更重要的是可以增强团队成员之间的信任。 这有助于他们在规划下一步解决问题之前更好地排除故障。

Threat Stack 和Squadcast共同通过完全透明的风险和实时响应能力实现事件管理的整体方法 - 所有这些都最大限度地减少了事件响应生命周期中的摩擦。 同样,通过更好的协作和透明度,关键 IT 系统和服务的整体可靠性得到显著提高。

无可指责的事后分析: 许多事件可以通过基础设施自动化、运行手册、功能标志、版本控制和持续交付等工具快速纠正,以便您的团队通过聊天操作和状态页面了解最新情况。 尽管这些措施对于解决当前情况有益,但对于帮助安全团队了解失败的原因和原因却没有多大价值。 但理解这一点是防止类似事件发生的关键一步,并确保团队形成一种围绕无责事件事后审查的文化。 还应该注意的是,让他们能够以一种简单、自动化的方式来捕获事件信息,并使用可重复使用的清单和模板发布最终报告,可能会使事件事后分析会议不那么可怕。  

详细可靠性洞察: Squadcast 的报告和分析功能将揭示团队在确认和解决警报方面的表现,并有助于确定需要改进的领域。 它可以帮助团队可视化和分析指定时间段内各服务中事件的分布情况以及每项服务的状态。

随着事件数量的增加,许多模式将会出现,使频繁发生的问题加倍解决。 您可以使用图形表示进行探索性数据分析,并了解更多有关过去事件的信息。 还可以根据事件所携带的标签(例如严重性标签、警报源、状态、日期和时间等)进行过滤来导出这些数据。

总之,结合 Threat Stack 和 Squadcast 的功能将帮助您快速检测和应对云工作负载中的安全和合规风险,为降低 MTTK 和 MTTR 等 KPI 做出巨大贡献。

如果您有兴趣统一这两种工具,Squadcast 和 Threat Stack 支持团队可以帮助您取得成功。 如果您有其他最佳实践可以分享,或者需要有关 Threat Stack/Squadcast 集成设置方面的帮助,请随时与 Squadcast 支持团队联系。 

Threat Stack 现在是F5 分布式云应用基础设施保护(AIP)。 立即开始与您的团队一起使用分布式云 AIP。