Ha követjük a különböző piaci trendeket, egyre inkább látszik a törekvés, hogy minden IT-biztonsági gyártónak legyen egy robosztus és több lábon álló XDR-megoldása. A különböző platformok sokszor igencsak eltérő “történelmi” gyökerekkel rendelkeznek, ezért a megoldásoknak is eltérőek az erős pontjaik. A Gartner és más elemző cégek miatt egyre nagyobb a nyomás ezeken a gyártókon, hogy a fejlesztések során a hiányzó, vagy kívánt funkciókról is gondoskodjanak, vagy felvásárlások, esetleg integrációk útján illesszék be a platform képességei közé.
Ahogy a neve is mutatja, az XDR-megoldásoknak (eXtended Detection and Response) kiterjedt és több irányból támogatott megoldásként kell létezniük. Ezek a legtöbb esetben a végpontvédelmi irányból indultak, a korábban EPP- és EDR-megoldásoknak hívott termékekből alakultak ki, és mára különböző extra képességeket kaptak a végpontvédelem mellé. A legsűrűbben említett XDR-funkció a hálózati forgalomelemzés (NDR), de legalább ennyire fontos, hogy a különböző forrásokból megszerzett információkat rendezetten és kezelhető formában tároljuk, képesek legyünk hatékonyan keresni benne és ne jelentsen problémát az se, ha az adatok mennyisége akár hirtelen és drasztikusan növekszik. Ezért fontos, hogy a választott megoldásnak legyen egy robosztus adatkezelő háttere, amely képes óriási mennyiségű naplóbejegyzést feldolgozni.
A DataSet, a SentiOne XDR megoldása
A SentinelOne platformja is rendelkezik ilyen pillérrel, amit az XDR-megoldás használ, legtöbbször elrejtve a szemünk elől. Ellentétben a többi, piacon lévő megoldással, ezt a „sima” felhasználók számára is elérhetővé tették DataSet néven. Ez gyakorlatilag egy cloud natív felhős adatplatformot takar. A DataSet talán a különféle “datalake” termékekhez hasonlítható leginkább a logkezelő megoldások közül. Képes akár napi több terrabyte adatot is fogadni, mindezt a lehető leghatékonyabb módon kezelve, és ezzel egyszerre sikerült gyors, skálázható és költséghatékony megoldást alkotni. A korábban létező SIEM-megoldásokkal szemben itt nem jelent problémát az se, ha a legkülönbözőbb adatforrásokból folyamatosan nagy mennyiségű adat árad a tárhelyünkbe, ilyenkor is megtartja a gyorsaságát és feldolgozóképességét. Az egyedi architektúrának köszönhetően az adatok folyamatosan elérhetők, nem kell a különböző tárhelyszintek között mozgatni őket, így nincs felesleges várakozási idő, ezért a legkülönfélébb felhasználási módok esetén is hatékonyan tud működni, legyen az akár adatvizualizálás, akár egyedi, kifinomult keresések. Szintén az egyedi architektúrához tartozik, hogy az adattárolás és az ezeken végzett analitikai műveletek skálázása egymástól teljesen függetlenül történik az igényeinknek megfelelően.
A DataSet előnyei
A legtöbb cég életében általában elég érzékeny pontnak számít a különféle naplók tárolása, ezért fontos megemlíteni, hogy az ide beküldött naplók és bejegyzések végig titkosítva haladnak a hálózaton, illetve a tárolásuk is magas fokú titkosítással történik. A biztonsági előnyök közé tartozik továbbá, hogy az általunk gyűjtött adat végig a miénk, tehát az irányítás a mi kezünkben marad. A biztonsági előnyökön kívül legalább ennyire fontos az is, hogy a hagyományos SIEM és sima loggyűjtő megoldásokkal szemben a DataSet használata és üzemeltetése közben nem szükséges sok üzemeltetői energiát ráfordítanunk, mivel akár teljesen SaaS felépítésben is elérhető.
Az a tény, hogy egy vezető XDR-gyártó a saját megoldása mögött is ezt a rendszert használja, már önmagában is elég meggyőző, viszont a különböző lehetőségeket közelebbről megvizsgálva még inkább egyértelművé válik, hogy ha nagymennyiségű naplóbejegyzést kell tárolnunk, illetve feldolgozunk a legkülönfélébb módokon, akkor a DataSet lehet a jelenleg elérhető egyik legjobb megoldás az ügyfelek számára.
A blogbejegyzés az IT Business cikkének átdolgozott változata.