Kaspersky adiciona novos recursos e aprimora sua plataforma SIEM

A segurança cibernética enfrenta inúmeros desafios, como as frequentes tentativas de penetração nas infraestruturas das empresas e um aumento no número de ataques complexos. De acordo com o Kaspersky Human Factor 360 Report, 77% das empresas sofreram pelo menos uma violação de segurança cibernética em 2023, com muitas sofrendo até seis invasões no período. Para otimizar seus recursos e melhorar a eficiência da segurança cibernética, as empresas estão procurando soluções que as ajudem a coletar e analisar informações com telemetria de segurança em tempo real, aumentando significativamente sua proteção.

A plataforma Kaspersky Unified Monitoring and Analysis é uma solução SIEM de última geração para gerenciar dados e eventos de segurança. O plataforma não apenas coleta, agrega, analisa e armazena dados de log do toda a infraestrutura de TI, mas também fornece enriquecimento contextual e acionável insights de inteligência contra ameaças. Essas funcionalidades são muito úteis para a TI especialistas em segurança em muitos casos. Kaspersky adicionou novos recursos que permitem a profissionais de segurança cibernética navegar melhor na plataforma e detectar as ameaças com mais eficiência.

Encaminhamento de eventos de escritórios remotos para um único fluxo

Um roteador de eventos foi adicionado para reduzir a carga na comunicação de canais e diminuir o número de portas que se abrem em firewalls da rede. Ele recebe eventos de coletores e os envia para destinos especificados com base em filtros configurados para o serviço. Usar um serviço intermediário como este permite o balanceamento de carga eficaz entre links e permite o uso de links de baixa largura de banda.

Agrupamento por campos arbitrários, usando funções de arredondamento de tempo da interface de eventos

Durante as investigações, os analistas precisam selecionar eventos e criar consultas com agrupamentos e funções de agregação. Agora os clientes podem executar consultas de agregação simplesmente selecionando um ou mais campos, que podem usar como parâmetros de agrupamento, e clicar em “Executar consulta”.

Pesquisando eventos em vários armazenamentos selecionados

Agora é possível iniciar uma consulta de pesquisa simultaneamente em vários clusters de armazenamento e obter resultados em uma única tabela consolidada. Esse recurso permite uma recuperação mais eficiente e direta de eventos necessários em clusters de armazenamento distribuídos. A tabela combinada indica o local de armazenamento de cada registro.

Regras de mapeamento para Mitre ATT&CK

Um mecanismo foi criado para auxiliar analistas na visualização da cobertura da matriz Mitre ATT&CK por regras desenvolvidas, avaliando assim o nível de segurança. A funcionalidade também permite que analistas importem um arquivo atualizado com a lista de técnicas e táticas para o sistema SIEM, especifiquem técnicas e táticas detectadas por uma regra em suas propriedades e exportem uma lista de regras do sistema SIEM marcadas de acordo com uma matriz para o Mitre ATT&CK Navigator.

Coleção de logs do DNS Analytics

O novo transporte ETW (Event Tracing for Windows) usado para ler assinaturas do DNS Analytics fornece um log DNS estendido, eventos de diagnóstico, dados analíticos sobre operações do servidor DNS. Isso fornece mais informações do que o log de depuração DNS e impacta menos o desempenho do servidor DNS.

“O sistema SIEM é uma das principais ferramentas de trabalho projetadas para profissionais de segurança cibernética. A segurança de uma empresa depende em grande parte de quão convenientemente os especialistas podem interagir com o SIEM, permitindo que eles se concentrem diretamente no combate às ameaças em vez de executar tarefas de rotina. Continuamos a melhorar ativamente a solução com base nas necessidades do mercado e no feedback do cliente, e estamos constantemente introduzindo novos recursos para tornar o trabalho dos analistas mais simples”, disse Ilya Markelov, chefe da Linha de Produtos de Plataforma Unificada da Kaspersky.