Kluczowym elementem przewagi konkurencyjnej CrowdStrike Next-Gen SIEM jest jego unikalna architektura, oparta na przejętej technologii Humio, obecnie znanej jako LogScale. 

To bezindeksowe podejście do zarządzania danymi logów oferuje przełomowe korzyści:

Niezrównana szybkość wyszukiwania: Dzięki eliminacji indeksowania i zastosowaniu filtrów Blooma, platforma umożliwia błyskawiczne przeszukiwanie ogromnych ilości danych (nawet petabajtów) w czasie poniżej dwóch sekund. To radykalnie przyspiesza procesy dochodzeniowe i analizę zagrożeń.

Efektywność kosztowa przechowywania danych: Wysoki współczynnik kompresji danych (średnio 25x) pozwala na długoterminowe przechowywanie danych w tak zwanym "gorącym" magazynie (hot storage), co eliminuje potrzebę kosztownej rehydratacji danych i obniża całkowity koszt posiadania (TCO). Standardowo dane są przechowywane w trybie hot przez rok, co jest kluczowe, biorąc pod uwagę, że średni czas przebywania osoby nieuprzywilejowanej w środowisku wynosi około 120 dni.

CrowdStrike stawia na transparentność i przewidywalność kosztów. Model cenowy opiera się głównie na ilości ingestowanych danych firm trzecich oraz retencji danych z endpointów Falcon. W przeciwieństwie do wielu tradycyjnych systemów SIEM, CrowdStrike nie nalicza opłat za liczbę użytkowników, wykonywanych zapytań, tworzonych reguł korelacji czy dodatkowych modułów. Wszystkie zaawansowane funkcjonalności, takie jak XDR, SOAR i wbudowana AI (Charlotte AI jest częścią Next-Gen SIEM, z potencjalnymi limitami w bezpłatnej wersji), są częścią standardowej oferty. W przypadku przekroczenia limitów ingestu, CrowdStrike stosuje 30-dniową średnią ruchomą, co zapewnia elastyczność i unika karania za krótkotrwałe wzrosty ruchu.

Jedną z największych zalet CrowdStrike Next-Gen SIEM jest jego natywna integracja z danymi z punktów końcowych zbieranymi przez platformę Falcon. CrowdStrike gromadzi ponad 600 różnych telemetrycznych danych z endpointów, w tym logowania i wylogowania użytkowników, blokady kont, adresy IP i wiele innych. Ta bogata i szczegółowa baza danych, stanowiąca około 80% aktywności w środowisku IT, jest kluczowa dla skutecznego wykrywania i reagowania na zagrożenia.

Tradycyjne systemy SIEM często napotykają trudności z efektywnym i kosztowo uzasadnionym gromadzeniem tak obszernej ilości danych z endpointów. Wysyłanie pełnej telemetrii do zewnętrznego systemu SIEM może generować znaczne koszty związane z ingestem i przechowywaniem danych. CrowdStrike rozwiązuje ten problem, oferując rozszerzenie retencji danych z endpointów Falcon do poziomu retencji danych firm trzecich bez dodatkowych opłat za ingest danych z endpointów. To znacząco obniża koszty i zwiększa widoczność.

Przeprowadźmy, krótkie demo - załóżmy, że w scenariuszu z wyłączoną prewencją, atak jest wykrywany na różnych etapach dzięki integracji danych z endpointów i tożsamości. Rozpoczynamy pracę od mapy ciepła identyfikując ją na MITRE ATT&CK, sklasyfikowałam incydent o wysokim priorytecie związany z Odyssey Spider.  Swoją drogą, Crowdstrike ma absolutnie niezastąpione oznaczenia ataków. 

Przechodząc do widoku incydentu, uzyskuje ujednolicony obraz wszystkich powiązanych alertów z różnych źródeł. Oś czasu ataku pozwala prześledzić jego pełną progresję. Incident można zwizualizować pomiędzy wskaźnikami, a Charlotte AI generuje podsumowanie incydentu i sugeruje dodatkowe powiązane hosty. Wzbogacenie wskaźników o threat intelligence dostarcza kluczowych informacji o aktorze i jego taktykach.

Zaawansowane wyszukiwanie pozwala sprawdzić, czy inni użytkownicy mieli kontakt ze złośliwą domeną w przeszłości. Współpraca w czasie rzeczywistym umożliwia skoordynowaną reakcję zespołu. Dzięki Falcon Fusion SOAR, możliwe jest szybkie zabezpieczenie skompromitowanego konta. Integracja z narzędziami bezpieczeństwa pozwala na zablokowanie przyszłych ataków.

CrowdStrike Falcon Next-Gen SIEM radykalnie przyspiesza wykrywanie, dochodzenie i reagowanie na ataki, integrując dane z Falcona i narzędzi firm trzecich. Wykorzystanie natywnej analizy zagrożeń, sztucznej inteligencji (Charlotte AI) i automatyzacji przepływów pracy (Falcon Fusion SOAR) w jednym, potężnym interfejsie, pozwala zespołom SOC skutecznie powstrzymywać naruszenia bezpieczeństwa. Platforma ta stanowi ewolucję w dziedzinie SIEM, dostarczając możliwości niezbędne do walki z nowoczesnymi, zaawansowanymi zagrożeniami.