Operações de segurança poderosas, segmentação poderosa

Considerando todas as ferramentas poderosas que uma organização pode implantar como parte de um arsenal eficaz de SecOps, ficamos nos perguntando se pode haver muita coisa boa.   

Para melhorar as operações de segurança dessas muitas ferramentas — e os alertas que elas geram — muitos de nós confiamos nos SIEMs para gerenciar centralmente a segurança por meio de um painel único " ", como diz o clichê. 

As equipes confiam no SIEM para obter informações de toda a sua postura de segurança por alguns motivos importantes. Primeiro, eles identificam rapidamente ameaças graves que a organização pode enfrentar. Em segundo lugar, permite tempos de investigação reduzidos para obter o contexto e os detalhes relevantes sobre os ataques. E terceiro, permite que as equipes respondam mais rapidamente com ações e fluxos de trabalho mais automatizados.   

Sendo esse o caso, os fornecedores devem oferecer uma integração limpa com os SIEMs para facilitar a vida das equipes de segurança.  

Por esse motivo, o Illumio tem uma profunda integração com o Splunk. Clientes conjuntos entendem melhor sua postura de segurança e podem responder aos ataques com apenas alguns cliques. A integração com o Illumio usa visualizações intuitivas e cuidadosamente elaboradas para que as equipes possam ver e entender o que está acontecendo em um piscar de olhos e responder com um clique. Com o Splunk e o Illumio, informamos às equipes quais máquinas podem estar comprometidas no data center ou se há uma política de segmentação deficiente. 

No entanto, ser capaz de responder a essas perguntas importantes é apenas o começo dos benefícios da nossa integração com o Splunk: 

• Saiba onde colocar recursos valiosos da equipe: os alertas de eventos destacam claramente os eventos de segurança que estão ocorrendo para que as equipes saibam quais ativos podem ser afetados e onde responder imediatamente. 
• Saiba se a segmentação é segura: atacantes experientes podem tentar mexer nos firewalls e nas configurações de segmentação para obter acesso aos dados. Por esse motivo, mostramos o quão segura é sua segmentação destacando as tentativas de violação do firewall no iptables ou no Microsoft WFP (Plataforma de Filtragem do Windows). Isso mostra imediatamente se um servidor está tentando obter privilégios ilegais ou contornar as políticas de segurança.  
• Veja as tentativas de ataques em andamento: Em um ataque, o movimento lateral geralmente é precedido por varreduras de portas. Embora não sejam inerentemente ruins, as varreduras de portas geralmente indicam que alguém está realizando um reconhecimento para ver para onde pode se mover internamente. Nossa integração destaca as verificações de portas para saber imediatamente que há atividades suspeitas indicando um ataque iminente. 
• Veja quais máquinas estão agindo de forma suspeita: nossa visualização clara do tráfego mais bloqueado por host para que você saiba rapidamente se um host está sendo atacado. Além disso, essa visualização também pode informar se a política de segmentação do host está errada, resultando em tráfego bloqueado inesperado. 
• Encaixe perfeitamente a empresa e a área de segurança: em um piscar de olhos, você saberá sobre qualquer tráfego potencialmente bloqueado antes de aplicar as políticas. Isso significa que você confirmará facilmente as políticas de segmentação antes de entrar em vigor para garantir que não interrompa o aplicativo de negócios que está tentando proteger.   
• Investigue rapidamente: ao investigar uma carga de trabalho que apresenta comportamento anormal, você deve descobrir imediatamente qual é o problema. Todos os detalhes da carga de trabalho, eventos de tráfego e eventos de auditoria são reunidos em uma única visualização, reduzindo a quantidade de trabalho investigativo envolvido. 
• Pare os ataques com um clique: nossa integração oferece visibilidade nítida da segurança no Splunk, mas, igualmente importante, também permite que as equipes ajam. Você pode colocar em quarentena cargas de trabalho suspeitas diretamente do Splunk com um único clique.   
• Crie alertas com alguns cliques: a criação de alertas exige que as equipes dominem as mensagens syslog, entendam seu conteúdo e seu contexto profundamente e, em seguida, criem expressões regulares. Com uma interface gráfica que permite aos usuários criar novas configurações de alerta para as mensagens mais críticas geradas pelo Illumio PCE, os usuários podem aproveitar rapidamente os alertas do Splunk para ajudar na administração da implantação do Illumio.  

Analisaremos mais de perto os recursos de nossa integração com o Splunk em outra postagem do blog, então fique quieto. 

Para começar com nossa versão mais recente, acesse o Splunkbase e faça o download: https://splunkbase.splunk.com/app/3658/.