Kaspersky refuerza su plataforma SIEM con un módulo de inteligencia artificial

Las empresas buscan soluciones que les permitan recopilar y analizar datos en tiempo real, mejorando significativamente su conocimiento de la situación. Para responder a esta demanda, Kaspersky ha añadido nuevas funciones a su solución de Security Information and Event Management (SIEM), que permiten a los profesionales de la ciberseguridad detectar las amenazas con mayor eficacia. La plataforma incluye un nuevo módulo de inteligencia artificial (IA) que agiliza y mejorara la priorización de alertas, permite la visualización de dependencias de recursos y amplía las capacidades de búsqueda.

Kaspersky SIEM es una plataforma para centros de operaciones de seguridad (SOC) basada en una tecnología impulsada por IA y reforzada con inteligencia de amenazas líder a nivel mundial. La plataforma recopila datos de registro y los enriquece con información contextual e inteligencia de amenazas procesable, proporcionando todos los datos necesarios para la investigación y respuesta a incidentes, al mismo tiempo que habilita respuestas automatizadas a las alertas y actividades de búsqueda de amenazas.

La plataforma incorpora un nuevo módulo de IA que mejora la clasificación de alertas e incidentes mediante el análisis de datos históricos. Además, la puntuación de riesgos basada en IA para los activos ofrece hipótesis valiosas para búsquedas proactivas.

Este módulo analiza cómo las características de una actividad específica están relacionadas con diferentes activos, como estaciones de trabajo, máquinas virtuales, teléfonos móviles, entre otros. Si una alerta detectada por el sistema como resultado de la correlación de eventos no es típica para el activo en el que se detecta, se marca en la interfaz con un estado adicional. Así, los analistas pueden identificar rápidamente los incidentes que requieren atención inmediata.

 

Mejoras de Kaspersky SIEM

Anteriormente, para recopilar datos de estaciones de trabajo con Windows y Linux, era necesario instalar un agente de SIEM en cada estación o configurar la transmisión de datos a un host intermedio. Ahora, si el agente de seguridad de Kaspersky Endpoint está instalado en el host, puede enviar datos directamente al sistema SIEM. Estos datos pueden utilizarse para búsquedas de eventos, análisis y correlación. De esta manera, se elimina el paso adicional de instalar y monitorizar agentes de SIEM por separado para los clientes que ya utilizan productos de seguridad de Kaspersky para endpoints.

La plataforma también ha mejorado sus capacidades de búsqueda, permitiendo a los usuarios visualizar cómo los recursos (filtros, reglas, listas) están conectados entre sí. Un gráfico de dependencias de recursos con una estructura de carpetas jerárquica facilita la búsqueda de consultas específicas para equipos grandes o múltiples búsquedas almacenadas. Los analistas pueden localizar de forma rápida y precisa los eventos relevantes o crear informes de “rolling window”, definiendo los plazos de inicio y fin de una consulta de búsqueda o un informe. Además, el historial de consultas permite acceder fácilmente a búsquedas anteriores.

Kaspersky SIEM almacena el historial de cambios en los recursos en forma de versiones. Se crea una nueva versión automáticamente cuando un analista crea un recurso nuevo o guarda cambios en un recurso existente. Este almacenamiento de versiones simplifica la interacción dentro de los equipos de analistas, permitiendo, por ejemplo, que un miembro del equipo vea los cambios realizados por un compañero en una regla de correlación y, si es necesario, deshacerlos.

Con la plataforma actualizada, los analistas pueden agregar una serie de valores de campo específicos desde la sección de campos únicos de la regla de correlación a un evento correlacionado, ahorrando tiempo al eliminar la necesidad de buscar valores en eventos subyacentes.

Kaspersky SIEM también permite añadir valores de campo específicos a una excepción si se identifica una alerta como una falsa alarma. Cada regla de correlación genera una lista de excepciones separada, lo que permite a los analistas centrarse en alertas críticas y reducir rápidamente el “ruido” de las reglas de correlación.

“SIEM es una de las principales herramientas para los equipos SOC y los departamentos de seguridad de TI, por lo que hacemos todo lo posible para que nuestra plataforma sea más fácil de usar. Estas nuevas características permiten a las empresas reaccionar ante eventos más rápido y con menos esfuerzo. Además, hemos mejorado Kaspersky SIEM enriqueciendo su compatibilidad con fuentes de eventos y reglas de correlación”, señala Ilya Markelov, director de la Línea de Productos de Plataforma Unificada de Kaspersky.