13 de septiembre de 2018
Protección de endpoints: Cómo mejorar la seguridad de endpoints con SOAR
Leer más
La detección de endpoints es un componente fundamental de la seguridad empresarial moderna. A medida que el tráfico cifrado domina la red y continúa ganando cuota de mercado, la detección de intrusiones y la identificación binaria basadas en la red se vuelven cada vez más difíciles.
EDR manual
Una plataforma de detección y respuesta de endpoints (EDR), si bien ofrece una visibilidad beneficiosa de la actividad de los endpoints y los binarios, incorpora su propio proceso de análisis, flujo de trabajo y generación de informes de cambios a un centro de operaciones de seguridad (SOC). Además, los analistas con formación en análisis tradicional de tráfico de red pueden estar menos familiarizados con las técnicas de investigación y análisis relacionadas con EDR.
Un flujo de trabajo de EDR de analista manual común puede parecerse al siguiente:
Como muestra el gráfico, la mayor parte del flujo de trabajo requiere intervención manual directa. La investigación, la determinación final, la elaboración de informes y la participación de un equipo de remediación recaen en un analista del SOC en la mayoría de los casos, y luego la remediación (como restaurar una estación de trabajo o añadir IP a la lista negra del firewall) recae en otro equipo. Este proceso ofrece un amplio margen de automatización.
EDR asistido por automatización
Con una plataforma de automatización, como Swimlane, se puede automatizar gran parte del flujo de trabajo de EDR, incluidos los pasos que consumen mucho tiempo, como la investigación y los informes.
Un flujo de trabajo EDR que utiliza Swimlane puede parecerse al siguiente:
Como muestra el gráfico, el único paso manual restante es determinar si un evento es lo suficientemente procesable como para requerir una remediación. Las alertas y el enriquecimiento iniciales se incorporan a Swimlane, que realiza investigaciones adicionales. Posteriormente, presenta toda la información relevante (puntuaciones de amenazas, clasificaciones de VirusTotal, búsquedas de WHOIS, etc.) al analista en una sola pantalla, lo que permite determinar rápidamente si se requiere una remediación.
Si se requiere una remediación, el analista puede simplemente activar la remediación automatizada (a través de la capacidad de reversión del sistema de la plataforma EDR, la lista negra del firewall/puerta de enlace, etc.) desde Swimlane, así como generar un informe automatizado que contenga los detalles de la alerta, los resultados de la investigación y los resultados de la determinación final y la remediación.
De esta manera, EDR es un candidato ideal para la automatización mediante Swimlane, lo que permite al analista maximizar su eficacia, minimizar la ardua investigación manual y evitar la participación de equipos de redes o sistemas con mucha actividad para acciones de remediación de bajo nivel. Un proceso de varias horas que involucra a varios equipos puede reducirse a unos pocos minutos. Vea a continuación:
Vea nuestro seminario web a pedido sobre EDR automatizado.
La EDR suele realizarse de forma manual, ad hoc y laboriosa, ya que los analistas suelen tener que alternar entre herramientas para revisar binarios, aislarlos y realizar investigaciones de inteligencia de código abierto. Gran parte de este proceso se puede automatizar con SOAR. Vea este seminario web a la carta para obtener un caso práctico detallado sobre la automatización de la EDR con SOAR.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español