技术文章

Cybereason 很高兴地宣布其存储长期狩猎数据的方法取得了重大进展（我们的传感器收集的遥测数据不是由恶意操作或MalOp ™检测到并与之相关的“良性数据” ）。现在可以直接从 Cybereason 调查 UI 查询长期搜寻数据，为分析师提供真正统一的威胁搜寻和调查体验。 

到目前为止，如果分析师想要搜索他们的长期狩猎数据集，他们将不得不转向一个名为历史数据湖 (HDL) 的单独应用程序。这些增强意味着所有搜索——无论是跨近期还是长期狩猎数据——都可以从 Cybereason Defense Platform 的调查 UI 中进行。 

统一的威胁搜寻和调查体验大大简化了分析师的工作流程，并允许分析师在搜索长期搜寻数据时利用防御平台功能。好处包括：

• 一个 UI——无需在 Cybereason Defense Platform 和 HDL 之间进行上下文切换——所有搜索现在都可以通过 Investigation UI 进行，以提供一致的体验。

• 一个强大的查询生成器——分析师不再需要根据他们希望搜索的时间段使用不同的查询生成器。Investigation UI 中的查询功能可用于搜索所有时间段的数据。此功能有助于在一组丰富的元素和功能中进行搜索，并允许在元素之间无缝切换。例如，分析师可以轻松地从一个流程转向关联的子流程，然后通过最少的点击操作转向与这些流程关联的所有连接。

• 完全情境化的数据——现在有了这种统一的体验，所有通过 Cybereason Defense Platform 可用的数据都与来自我们行业领先的MalOp ™ 检测引擎的信息完全情境化。利用我们针对“证据”、“怀疑”和“恶意操作”的标准化分类方法。

• 完整的 API 支持——Cybereason 的调查功能可以通过 UI 或 Investigation API 来利用。现在可以通过编程方式对长期狩猎数据执行查询。

• 联合- Cybereason Defense Platform 提供了一个联合，允许 Cybereason 用户根据用户定义的组过滤和查看数据。可以利用此功能通过调查功能对不同分析师可用的数据进行细分。

出于多种原因，长时间存储狩猎数据是组织网络安全战略的一个重要方面，包括：

• 它允许组织主动发现已逃避现有控制并可能与违规行为相关的可疑/恶意活动。通过将威胁搜寻作为一个持续的过程嵌入，如果及早发现此类活动，这将增加破坏攻击者并将损害降至最低的可能性。

• 它允许组织将来自新发现的历史攻击活动的情报反应性地应用到他们的数据集中。例如，有关攻击活动的详细信息可能只会在初始入侵几个月后才成为公众所知。在这种情况下，组织将希望采用已知的妥协指标 (IOC) 并在他们的狩猎数据中搜索它们，以了解它们是否曾经并且仍然受到影响。

• 如果一个组织遭受破坏，访问狩猎数据将最大限度地了解攻击者的活动——攻击开始的时间、零号病人、机器和用户如何随着时间的推移而受到损害等。如果无法访问此类数据，则无法建立事实模式了解对业务的影响将极具挑战性。