¿Estás visitando desde Perú?
Ingresá a Linware Perú ⯈
Continuar en Linware Perú ⯈
×
¿Qué estás buscando?
BUSCAR!
INICIO
NOSOTROS
imMail 3CX MagicSpam VMware Zimbra Xinuos SUSE Bitrix24 Nakivo Proxmox Veeam Kaspersky OnlyOffice
PRODUCTOS ▾
SOLUCIONES
BLOG
CONTACTO
BLOG
Elastic 8.4 presenta SOAR para operaciones de seguridad modernas
Publicada el 26/08/2022

Como novedad en Elastic Security 8.4, Elastic presenta capacidades SOAR para potenciar los centros de operaciones de seguridad (SOC) modernos para agilizar las operaciones de los analistas. 

Los SOC modernos se enfrentan a numerosos desafíos. Si bien la visibilidad y el impacto de las operaciones de seguridad se han convertido en un problema a nivel de directorio, los recursos disponibles para esos equipos de seguridad aún son limitados. Los datos están explotando y, en consecuencia, la responsabilidad del equipo de seguridad ha ido en aumento. Los equipos tienen la tarea de proteger un entorno distribuido sin perímetro y, al mismo tiempo, evaluar el riesgo de los proveedores de SaaS y los servicios compartidos.

Para abordar estos desafíos, muchas organizaciones han comenzado a unificar equipos con objetivos similares para compartir las mejores prácticas y reducir la brecha de habilidades. Los muros entre la observabilidad (aquellos encargados de la eficiencia operativa y la visibilidad de las aplicaciones comerciales) y la seguridad (aquellos encargados de la garantía y la protección de las aplicaciones comerciales) han encontrado que sus mundos chocan, ahora comparten datos, flujos de trabajo y experiencia del equipo. Elastic Security 8.4 ofrece las herramientas que los analistas necesitan para optimizar sus flujos de trabajo de operaciones para acelerar la búsqueda y la reparación de amenazas. 

¿Qué hay de nuevo en Elastic Security 8.4?

SOAR para el SOC moderno es un multiplicador de fuerza

Recientemente, Elastic redobló su compromiso con la seguridad abierta y transparente , y ahora, en Elastic Security 8.4, ampliamos nuestras capacidades de respuesta para continuar optimizando las operaciones de los analistas.

Los flujos de trabajo mejorados en Elastic 8.4 combinan capacidades de respuesta nativas y alertas configurables y acciones de casos con integraciones bidireccionales con proveedores de orquestación, automatización y respuesta de seguridad (SOAR). Los usuarios ahora pueden disfrutar de integraciones con ServiceNow, Swimlane y Tines, así como nuevas asociaciones con D3 y Torq.

El enfoque único de Elastic para SOAR está impulsado por Elastic Agent . Esta tecnología, incluida con la solución Elastic Security, permite el crecimiento de casos de uso con un solo clic en cientos de fuentes de datos, así como la administración de nuestro software de protección de seguridad en la nube y endpoint. Elastic Agent impulsa las capacidades de remediación nativas accesibles para todos los usuarios, lo que garantiza que cualquiera pueda comenzar su viaje SOAR sin la necesidad de comprar tecnologías adicionales. 

A medida que crecen los casos de uso para la remediación y los equipos requieren controles de orquestación avanzados, los usuarios pueden utilizar las capacidades de orquestación personalizables dentro de Elastic Security o las integraciones con un solo clic con otros proveedores líderes de SOAR. Este enfoque de usuario primero crece con las necesidades de una organización, ofreciendo simplicidad y consolidación para todos los usuarios sin forzar el bloqueo del proveedor.

Este modelo escalable a medida que crece permite a los clientes simplificar los flujos de trabajo y los procesos de automatización y orquestación en su ecosistema existente mediante la combinación de acciones y orquestaciones nativas con un solo clic con un enfoque API-first para integraciones propias y de terceros. Los analistas ahora pueden usar Elastic Security para sus necesidades de SOAR, aprovechar cualquiera de nuestros proveedores asociados de SOAR para ampliar sus capacidades de orquestación o personalizar completamente la experiencia de respuesta con acciones de Elastic y nuestro enfoque API-first para todas las capacidades.

Nuestra visión abierta de SOAR refleja nuestro enfoque de muchas otras tecnologías, como Elastic Security for Endpoint , que ofrece prevención y detección de puntos finales y potencia la detección y respuesta extendidas (XDR) . Los usuarios merecen elegir, por lo que también ofrecemos ricas integraciones con otros proveedores de terminales, como CrowdStrike , Microsoft Defender y SentinelOne . Hacemos lo que es mejor para nuestra comunidad, sin dudar en integrarnos con tecnologías que ofrecen capacidades superpuestas.

Muchas organizaciones recién están comenzando con la orquestación, automatización y respuesta de seguridad. Nuestras capacidades nativas de SOAR ayudan a las organizaciones de todo tipo a sobresalir en la gestión de incidentes, y nuestros socios de SOAR estrechamente integrados les ayudan a lograr aún más.

Interfaz de automatización de respuesta especialmente diseñada

Un flujo de trabajo central para planificar, construir y ejecutar su plan de respuesta es un componente clave de SOAR. Elastic Security 8.4 presenta una interfaz similar a una terminal que permite a los profesionales ver e invocar acciones de respuesta rápidamente, acelerando la respuesta. Se puede acceder a él con un solo clic desde los flujos de trabajo de los analistas clave, lo que minimiza el tiempo medio de respuesta (MTTR).

 
 
El aislamiento del host, una acción existente, arma a los analistas para deshabilitar rápidamente la conectividad de red en los sistemas infectados, lo que evita el movimiento lateral y al mismo tiempo permite que los socorristas clasifiquen e investiguen. Esta capacidad de respuesta entre sistemas operativos (Linux, macOS y Windows) se une a tres operaciones de proceso agregadas en la versión 8.4:
  • Enumerar los procesos que se están ejecutando actualmente
  • Suspender proceso
  • Proceso de matanza

Una nueva interfaz de auditoría proporciona un registro completo de la actividad de respuesta a incidentes, lo que respalda controles e informes estrictos.

Estas capacidades están generalmente disponibles (GA) en 8.4 y son accesibles en nuestro nivel de suscripción Enterprise en implementaciones autogestionadas y en la nube. Las versiones posteriores ampliarán aún más las acciones de respuesta disponibles.

Autorreparación para hosts de Windows

Devolver un host atacado a un buen estado conocido es otro componente central de SOAR. 

Elastic Security 8.4 presenta la función de recuperación automática, una función de reparación automatizada que borra los artefactos de ataque de un sistema. Ahora, cuando se identifica actividad maliciosa en un host, la autolimpieza devuelve automáticamente el host a su estado anterior al ataque al revertir los cambios implementados durante el ataque. En esta versión, nos enfocamos en revertir los cambios de archivos y abordar los ejecutables eliminados/creados, y próximamente habrá más funcionalidades de remediación.

El modo de recuperación automática en los sistemas Windows es GA en 8.4 y se puede acceder a él en nuestro nivel de suscripción Platinum en implementaciones autogestionadas y en la nube.

Perspectivas de alertas automatizadas

Los analistas de seguridad gastan mucha energía conectando los puntos entre una alerta y la miríada de otras alertas en su entorno. La fatiga de alertas, una combinación de volumen de alertas y alertas falsas, junto con la escasez de profesionales capacitados es un problema real para muchas organizaciones. Alert Insights, otra nueva capacidad, guía a los analistas dentro de su flujo de trabajo a alertas y casos relevantes, acelerando la evaluación de impacto y optimizando el flujo de trabajo y la experiencia de los analistas. De un vistazo, los analistas pueden ver lo siguiente:
  • ¿Esta alerta ha estado alguna vez en un caso antes?
  • ¿Esta alerta está relacionada con otras alertas por indicadores clave de compromiso?
  • Agrupaciones únicas de Elastic basadas en alertas relacionadas en la misma sesión de usuario 

 

Además, un solo clic se convierte en la experiencia de investigación de arrastrar y soltar de Elastic, lo que permite una fácil búsqueda de amenazas y un análisis adicional. 

 

Alert Insights es GA en 8.4 y accesible en el nivel de suscripción Platinum.

Asociaciones SOAR ampliadas

SOAR potencia Elastic Security con integración SOAR nativa y de terceros. En respuesta a los comentarios de los clientes, se lanzarán nuevos conectores de D3 Security y Torq , lo que impulsará aún más nuestro liderazgo en integraciones SOAR de terceros. Los conectores proporcionarán el reenvío llave en mano de las detecciones de Elastic, lo que permitirá la orquestación, la automatización y la respuesta de la seguridad.

Con la asociación de D3 y Elastic, los usuarios de nuestras plataformas pueden escalar automáticamente alertas enriquecidas y desencadenar acciones de flujo de trabajo con facilidad a través de parámetros bien definidos en las interfaces de usuario de Elastic y D3 NextGen SOAR. Con su automatización sin código, orquestación de pila cruzada y escalabilidad inigualable, D3 está bien posicionado para mantener a los analistas de SOC enfocados en amenazas reales al liberar el tiempo que normalmente se dedica a falsos positivos y tareas repetitivas.

Amardeep Dhingra, gerente sénior de marketing de socios, D3 Security

Estamos encantados de asociarnos con Elastic en una misión compartida para ayudar a los equipos de operaciones de seguridad de hoy a moverse a la velocidad y escala de la nube. Con la detección integral de amenazas avanzadas de Elastic y la automatización sin código de Torq, los equipos de seguridad pueden acelerar la respuesta y la remediación, brindando niveles de protección sin precedentes.

Eldad Livni, cofundador y director de innovación de Torq
 
 

Orquestación personalizable mejorada

Para cualquier proveedor o acción más allá de nuestro amplio conjunto de integraciones, los usuarios pueden crear automatizaciones con nuestra interfaz especialmente diseñada. Aquí, cualquier llamada a la API puede construirse como un conector y luego aplicarse como una acción orquestada. Recientemente se publicó una comunidad abierta de conectores para proporcionar un punto de partida para cualquier control personalizado que requieran los usuarios. En Elastic 8.4, hemos ampliado esta funcionalidad de alertas para incluir también acciones de casos.

¿Qué otra cosa?

Además de presentar capacidades SOAR, Elastic 8.4 incluye varias mejoras de ingeniería de detección, que incluyen:

  • Fácil detección de nuevas entidades que aparecen en los datos de registro: hemos introducido un nuevo tipo de regla que alerta a los usuarios cuando se encuentra un término desconocido en sus fuentes de datos. Cuando se ingiere un documento y contiene un valor de campo que es diferente de lo que apareció durante un período de tiempo específico (es decir, los últimos 7 días), esta regla generará una alerta. La aparición de un nuevo host, dirección IP o nombre de usuario podría indicar un cambio ambiental que podría ser digno de examen.
  • Excepciones de reglas ampliadas con compatibilidad con comodines: mayor flexibilidad/configuración más sencilla para las excepciones. Se introdujo un nuevo operador (coincidencias) al configurar excepciones, lo que permite a los usuarios aprovechar las expresiones comodín (así como '?' para la coincidencia de un solo carácter).
  • Habilitación de la recopilación de datos de productos de seguridad líderes: Elastic 8.4 presenta varias integraciones nuevas con un solo clic en Elastic Agent para incorporar, analizar y visualizar fácilmente datos de fuentes de datos de seguridad. Las nuevas integraciones incluyen Azure Firewall, Cisco Identity Service Engine, Cisco Secure Email Gateway, Citrix Web Application Firewall, Mimecast, Proofpoint TAP y SentinelOne. Nuestra integración de cortafuegos de última generación de Palo Alto también se ha actualizado para incluir soporte para PAN-OS 10.x y todos los tipos de registro . 

 

Para obtener una lista completa, consulte nuestras notas detalladas de la versión .

Los clientes existentes de Elastic Cloud pueden acceder a muchas de estas funciones directamente desde la consola de Elastic Cloud . Si eres nuevo en Elastic, echa un vistazo a nuestras guías de inicio rápido (videos de capacitación breves para que comiences rápidamente) o nuestros cursos de capacitación básicos gratuitos . Siempre puede comenzar de forma gratuita con una prueba gratuita de 14 días de Elastic Cloud . O descarga gratis la versión autogestionada del Elastic Stack.

 

Lea sobre estas capacidades y más en las notas de la versión de Elastic Security Solution 8.4.0 y otros puntos destacados de Elastic Stack en la publicación de anuncio de Elastic 8.4 .

Ir al Blog
Contacto en Perú
Lima
Tel-Fax +51 (1) 6419490
Email: info@linware.com.ar
Síganos en
Copyright © 2020 LINWARE