Kaspersky impulsa la productividad de los equipos de seguridad con mejoras en su sistema SIEM

  • Endpoint
Kaspersky SIEM

La Plataforma Unificada de Monitorización y Análisis de Kaspersky ofrece nuevas características que permiten a los profesionales de ciberseguridad navegar mejor en la plataforma y detectar amenazas de manera eficiente y a tiempo, incluida la búsqueda de eventos en múltiples almacenes seleccionados.

Los equipos de ciberseguridad enfrentan numerosos desafíos, como intentos frecuentes de penetrar las infraestructuras de las empresas y un aumento en el número de ataques complejos. Según el informe Kaspersky Human Factor 3601, el 74% de las empresas españolas ha sufrido al menos un ciberataque en los últimos dos años.

Puesto que los desafíos para los equipos de ciberseguridad continúan creciendo, Kaspersky ha presentado una actualización significativa de su Plataforma Unificada de Monitorización y Análisis, diseñada para fortalecer la productividad de los equipos de ciberseguridad al expandir las funcionalidades de detección y respuesta ante amenazas.

Herramienta mejorada

La Plataforma Unificada de Monitorización y Análisis de Kaspersky es un sistema de gestión de información y eventos de seguridad (SIEM) de próxima generación para gestionar datos y eventos de seguridad, que no solo recopila, agrega, analiza y almacena datos de registro de toda la infraestructura de TI, sino que también proporciona enriquecimiento contextual e información procesable sobre inteligencia de amenazas. Las nuevas características añadidas a la plataforma son:

-  Reenvío de eventos desde oficinas remotas a un único flujo. Se ha añadido un router de eventos para reducir la carga en los canales de comunicación y disminuir el número de puertos que se abren en los firewalls de la red. Este recibe eventos de los recolectores y los envía a destinos especificados según filtros configurados para el servicio. El uso de un servicio intermedio como este permite un equilibrio de carga efectivo entre enlaces y permite el uso de enlaces de bajo ancho de banda.

-  Agrupación por campos arbitrarios, utilizando funciones de redondeo de tiempo desde la interfaz de eventos. Durante las investigaciones, los analistas necesitan seleccionar eventos y construir consultas con agrupaciones y funciones de agregación. Ahora los clientes pueden ejecutar consultas de agregación simplemente seleccionando uno o más campos que pueden usar como parámetros de agrupación, y acceder en “Ejecutar consulta”.

-  Búsqueda de eventos en múltiples almacenes seleccionados. Ahora es posible lanzar una consulta de búsqueda simultáneamente en varios clústeres de almacenamiento y obtener resultados en una única tabla consolidada. Esta funcionalidad permite una recuperación más eficiente y directa de eventos necesarios en clústeres de almacenamiento distribuidos. La tabla combinada indica la ubicación de almacenamiento de cada registro.

-  Mapeo de reglas con MITRE ATT&CK. Se ha creado un mecanismo para ayudar a los analistas a visualizar la cobertura de la matriz MITRE ATT&CK mediante reglas desarrolladas, evaluando así el nivel de seguridad. La función también permite a los analistas importar un archivo actualizado con la lista de técnicas y tácticas en el sistema SIEM, especificar técnicas y tácticas detectadas por una regla en sus propiedades, y exportar una lista de reglas del sistema SIEM marcada según una matriz al MITRE ATT&CK Navigator.

-  Recopilación de registros de DNS Analytics. El nuevo transporte ETW (Event Tracing for Windows) utilizado para leer suscripciones de DNS Analytics proporciona un registro extendido de DNS, eventos de diagnóstico, y datos analíticos sobre las operaciones del servidor DNS. Esto proporciona más información que el registro de depuración de DNS y afecta menos el rendimiento del servidor DNS.

“El sistema SIEM es una de las principales herramientas de trabajo diseñadas para los profesionales de ciberseguridad. La seguridad de una empresa depende en gran medida de lo conveniente que sea para los expertos interactuar con el SIEM, permitiéndoles enfocarse directamente en combatir las amenazas en lugar de realizar tareas rutinarias. Continuamos mejorando activamente la solución en función de las necesidades del mercado y los comentarios de los clientes, y estamos introduciendo constantemente nuevas características para simplificar el trabajo de los analistas”, comenta Ilya Markelov, jefe de la Línea de Productos de la Plataforma Unificada en Kaspersky.