PARTE DOIS: Threat Stack lança novo contexto de alerta para MTTK reduzido
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .
Conforme discutido na primeira parte desta série, o Threat Stack está comprometido em fazer mudanças significativas em sua interface de usuário (IU) – incluindo contexto de alerta – para reduzir ainda mais as principais métricas de segurança, como o tempo médio para saber (MTTK). Isso é importante porque cada minuto, se não cada segundo, conta quando se trata de identificar potenciais riscos de segurança. No entanto, de acordo com a IBM , o tempo médio para identificar uma violação em 2020 foi de 207 dias. Para evitar que nossos clientes caiam nessa estatística alarmante, lançamos novas mudanças fundamentais em nossa interface de usuário para uma experiência aprimorada e fornecer segurança mais precisa — reduzindo, assim, o MTTK. Vamos explorar.
Apresentando o contexto de alerta
Quando um cliente é notificado sobre um novo alerta e inicia o fluxo de trabalho de triagem e resposta, a Threat Stack Cloud Security Platform® pode agrupar alertas por indicadores comuns, como conformidade e processo, e então criar visualizações, como mapas de calor e gráficos de tendências, para fornecer insights sobre tendências de alertas em frequência e volume. Além disso, eventos contribuintes são correlacionados a alertas para fornecer um rastro de atividades para orientar investigações.
Com o feedback dos usuários do Threat Stack, reconhecemos que perguntas comuns geralmente são derivadas da navegação pela triagem de alertas e investigações. Por isso, adicionamos uma nova funcionalidade de contexto de alerta que padroniza essas perguntas mais frequentes e fornece respostas proativas por padrão aos nossos usuários. O contexto de alerta ajuda a orientar de forma rápida e precisa as investigações de nossos usuários sobre alertas de alta gravidade.
Novas funções de contexto de alerta: Destaques, visualizações e tabelas
Para acomodar nosso novo contexto de alerta, tivemos que redesenhar como exibir nossos dados de alerta avançados. Reconhecemos que a visualização atual precisava ser expandida para abrir espaço para nossa nova funcionalidade que exibia ocorrências de eventos para vários tipos de atividades, como destaques de alertas, novas visualizações e tabelas. Como resultado, mudamos de exibir alertas em uma exibição de gaveta horizontal para uma exibição de gaveta vertical mais espaçosa e moderna, permitindo que os usuários visualizem os detalhes pertinentes do alerta enquanto também visualizam a tabela de alertas de alto nível.
Uma das novas funções que podemos adicionar com o espaço extra são os destaques de alertas. Esse novo recurso pode complementar o contexto de um momento específico com um resumo da atividade histórica relacionada ao alerta. Isso fornecerá aos nossos usuários contexto sobre infraestrutura, usuários e atividades de processos, oferecendo orientação crucial durante investigações de segurança no mês passado.
Por exemplo, em vez de navegar por uma infinidade de eventos relacionados à atividade de um usuário específico, o Threat Stack fornece um resumo do alerta em si, como o seguinte:
Exemplo de destaque de alerta de usuário específico na Threat Stack Cloud Security Platform
Destaques também aparecem acima de nossas visualizações para resumir atividades relacionadas ao comportamento do usuário, agente ou processo em um formato legível por humanos. Por exemplo, o seguinte apareceria acima de uma visualização de histograma mostrando a atividade de um usuário específico:
Exemplo de resumo do comportamento de um único usuário na Threat Stack Cloud Security Platform
Também introduzimos uma visualização de alertas de página única, que fornece aos usuários visualizações, como um histograma que pode mostrar a atividade dos usuários nos últimos 30 dias. O histograma é interativo, permitindo que os usuários ampliem e investiguem atividades em datas de interesse. A visualização de alertas de página única também pode ser vinculada profundamente e exportada para PDF, facilitando o compartilhamento de alertas de interesse, incluindo contexto de alerta, dentro da organização ou com auditores.
Exemplo de uma página de alerta de painel único com dados de amostra na Threat Stack Cloud Security Platform
Nosso compromisso com a inovação da IU
Estamos permitindo que os clientes naveguem e gerenciem seus alertas perfeitamente por meio da infinidade de alterações feitas recentemente na interface do usuário do Threat Stack. Nosso objetivo é reduzir o MTTK fornecendo mais contexto para que os usuários possam triar e investigar alertas rapidamente em nossa plataforma. Essas atualizações são apenas o começo da nossa iteração de design para alertas do Threat Stack.
O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .