Poderosas operaciones de seguridad, poderosa segmentación

Dadas todas las poderosas herramientas que una organización puede implementar como parte de un arsenal efectivo de SecOps, nos preguntamos si puede haber demasiado de algo bueno.   

Para mejorar las operaciones de seguridad de estas muchas herramientas, y las alertas que generan, muchos de nosotros confiamos en los SIEM para gestionar la seguridad de forma centralizada a través de un "panel único", como dice el cliché. 

Los equipos confían en su SIEM para obtener información de toda su postura de seguridad por algunas razones clave. Primero, identifican rápidamente las amenazas graves que puede enfrentar la organización. En segundo lugar, permite reducir los tiempos de investigación para obtener el contexto y los detalles relevantes sobre los ataques. Y tercero, permite a los equipos responder más rápido con acciones y flujos de trabajo más automatizados.   

Siendo este el caso, los proveedores deben ofrecer una integración limpia con los SIEM para facilitar la vida de los equipos de seguridad.  

Por esta razón, Illumio tiene una profunda integración con Splunk. Los clientes conjuntos comprenden mejor su postura de seguridad y pueden responder a los ataques con unos pocos clics. La integración de Illumio emplea visualizaciones intuitivas y cuidadosamente diseñadas para que los equipos puedan ver y comprender lo que está sucediendo de un vistazo y responder con un clic. Con Splunk e Illumio, informamos a los equipos qué máquinas pueden estar comprometidas en el centro de datos o si hay una política de segmentación deficiente. 

Sin embargo, poder responder a estas importantes preguntas es solo el comienzo de los beneficios de nuestra integración con Splunk: 

• Sepa dónde colocar los valiosos recursos del equipo: Las alertas de eventos resaltan claramente los eventos de seguridad que están ocurriendo para que los equipos sepan qué activos pueden ver afectados y dónde responder de inmediato. 
• Sepa si la segmentación es segura: Los atacantes experimentados pueden intentar manipular los firewalls y la configuración de segmentación para obtener acceso a los datos. Por esta razón, le mostramos qué tan segura es su segmentación destacando los intentos de manipulación del firewall en iptables o Microsoft WFP (Windows Filtering Platform). Esto le muestra inmediatamente si un servidor está intentando obtener privilegios ilegales o eludir las políticas de seguridad.  
• Vea los intentos de ataques en curso: En un ataque, el movimiento lateral a menudo está precedido por escaneos de puertos. Si bien no son intrínsecamente malos, los escaneos de puertos a menudo indican que alguien está realizando un reconocimiento para ver dónde pueden mover internamente. Nuestra integración resalta los escaneos de puertos para saber de inmediato que hay actividad sospechosa que indica un ataque inminente. 
• Vea qué máquinas están actuando de manera sospechosa: Nuestra visualización clara del tráfico bloqueado por host para que sepa rápidamente si un host está siendo atacado. Además, esta visualización también puede indicarle si la política de segmentación de host es incorrecta, lo que da lugar a un tráfico bloqueado inesperado. 
• Enhebre perfectamente la aguja entre el negocio y los secops: De un vistazo, sabrá sobre cualquier tráfico potencialmente bloqueado antes de aplicar las políticas. Esto significa que confirmará fácilmente las políticas de segmentación antes de ponerlas en marcha para cerciorar de no romper la aplicación empresarial que está tratando de proteger.   
• Investigue rápido: Al investigar una carga de trabajo que exhibe un comportamiento anormal, querrá descubrir de inmediato cuál es el problema. Todos los detalles de la carga de trabajo, los eventos de tráfico y los eventos de auditoría se reúnen en una sola vista, lo que reduce la cantidad de trabajo preliminar de investigación involucrado. 
• Detenga los ataques con un clic: Nuestra integración ofrece una visibilidad de seguridad nítida en Splunk, pero lo que es igual de importante, también permite que los equipos tomen medidas. Puede poner en cuarentena cargas de trabajo sospechosas directamente desde Splunk con un solo clic.   
• Crea alertas con unos pocos clics: La creación de alertas requiere que los equipos dominen los mensajes de syslog, comprendan su contenido, así como el contexto, en profundidad y luego creen expresiones regulares. Con una interfaz gráfica que permite a los usuarios crear nuevas configuraciones de alerta para los mensajes más críticos generados por Illumio PCE, los usuarios pueden aprovechar rápidamente las alertas de Splunk para ayudar a gestionar su implementación de Illumio.  

Echaremos un vistazo más de cerca a las características de nuestra integración de Splunk en otra publicación de blog, así que sentar tranquilo. 

Para comenzar con nuestra versión más reciente, dirigir a Splunkbase y descargue: https:\/\/splunkbase.splunk.com\/app\/3658\/.