Cytomic Orion se refuerza con la herramienta de investigación OSQuery
- Endpoint
Las plataformas de seguridad actuales carecen de la capacidad de hacer consultas en tiempo real en todo el parque de endpoints. La integración de OSQuery en Cytomic Orion ayuda a los analistas a descubrir situaciones anómalas, analizar indicios y responder a incidentes con facilidad.
Cytomic ha anunciado que la nueva versión de Cytomic Orion, que será lanzada en los próximos días, ampliará sus capacidades con OSQuery, una herramienta que permite a las organizaciones consultar en tiempo real numerosas entidades, atributos y estados del sistema de todos los endpoints protegidos. Estas nuevas capacidades aumentan las ya existentes en la plataforma Cytomic, la cual permite ya tomar acciones de remediación en tiempo real desde la nube, además de simplificar la detección e investigación de incidentes de seguridad en una o múltiples organizaciones y todo desde un único agente desplegado.
La integración de OSQuery en Cytomic Orion proporciona acceso a más de 85 tablas (Windows) para ayudar a los analistas a descubrir situaciones anómalas, analizar indicios y poder responder a incidentes con una facilidad sin precedentes. Cada OSQuery se puede iniciar en un subconjunto de endpoints o de forma masiva en todos los endpoints de la organización, o incluso de varios clientes, lo que permite a los MSSP detectar rápidamente actores de amenazas en todos sus clientes de una sola vez.
Los analistas de seguridad necesitan respuestas inmediatas a preguntas críticas en todo su parque de endpoints durante la investigación de un ataque. La integración de OSQuery en Cytomic Orion permite:
•Inspeccionar los endpoint en tiempo real. Además de la telemetría, que proporciona una visibilidad de la actividad en tiempo real, los analistas pueden necesitar inspeccionar atributos, estados o condiciones específicas en los endpoint. Por ejemplo, si durante una investigación el equipo de seguridad determina que se han robado ciertas credenciales, pueden consultar todos los endpoint para ver si se han utilizado en los intentos de inicio de sesión y dónde.
•Verificar el cumplimiento de políticas de seguridad. Los analistas pueden usar Cytomic Orion para determinar si todas las máquinas están en el nivel correcto de parches. Además, los equipos pueden usar OSQuery para realizar informes operativos sobre niveles de actualizaciones, privilegios de usuario, estado de cifrado de disco, entre muchas otras posibilidades.
•Descubrir situaciones anómalas. Por ejemplo, es común que el malware permanezca a la escucha en un puerto específico para dar acceso directo al comando y control del adversario (C&C). Los analistas pueden encontrar nuevos procesos escuchando en un puerto específico, y comparar los resultados a lo que se considera normal en la organización. Esta información proporciona, al equipo de seguridad, información clave para iniciar una investigación que esclarezca la naturaleza de ese proceso.
•Corregir ataques en tiempo real. Una vez identificado un ataque, Cytomic Orion permite a los administradores abrir una sesión, en cuestión de segundos, para terminar procesos, eliminar archivos o ejecutar un proceso en segundo plano y corregir la amenaza en tiempo real, independientemente de dónde se encuentren los endpoints comprometidos. La gran ventaja aquí es la reducción en gran medida cualquier tiempo de inactividad en el negocio, resultado del ataque.
