Por Michael Leland
La enorme cantidad de registros, eventos y flujo de datos en soluciones SIEM, ofrece a los analistas de seguridad respuestas a preguntas esenciales tales como «¿quién está accediendo a los sistemas de negocios?» o, lo que es más importante, «¿hubo alguna actividad extraña antes, durante o después de la conexión?»
Sin embargo, para obtener las respuestas a estas preguntas los usuarios necesitan filtrar, correlacionar, y ver los eventos relevantes del sistema SIEM, agregando “contenido” al propio sistema. Normalmente, el experto de SIEM crea y mantiene la gran cantidad de visualizaciones de panel, reglas de correlación, listas de vigilancia, alarmas, e informes relacionados con este procesamiento de datos para extraer información de eventos y desde luego, casos de uso. Por ejemplo, crear reglas de correlación no sólo requiere de un conocimiento a fondo de la actividad del adversario, sino también un conocimiento del sistema de datos SIEM para crear el contenido adecuado sin afectar el desempeño del mismo. La combinación requerida entre el conocimiento de amenazas y la configuración del sistema, puede llevar mucho tiempo y puede ser una labor desafiante antes de que se obtenga el desempeño total de la solución SIEM.
Existe una nueva ayuda para esta carga operacional. A partir de la versión 9.5, los clientes de McAfee Enterprise Security Manager (ESM) pueden simplificar las operaciones con paquetes de contenido «listos para funcionar» para los casos de uso de seguridad máxima como los descritos por el Analista de Gartner, Anton Chuvakin, en uno de sus blogs. Ahora los usuarios de SIEM pueden responder a las amenazas sin perder tiempo en comprender el origen del evento ni crear contenido desde cero. Además, los administradores de SIEM están habilitados para crear, ajustar y mantener contenido específico en caso de uso.
Gratuito y fácil de usar
El contenido que se actualiza frecuentemente incluye no sólo «las mejores prácticas» sobre cómo configurar McAfee ESM para un caso de uso específico de monitoreo de amenazas, también tienen todos los elementos (reglas, paneles e informes) para obtener el resultado deseado.
Construidos por los expertos de Intel Security SIEM, estos paquetes de contenido se distribuyen gratuitamente. Los usuarios pueden revisar, seleccionar, descargar y desplegar las configuraciones de contenido SIEM directamente desde la Interfaz de Usuario. Las guías sobre el uso, los tipos de dispositivos relacionados y los pasos de pre y post instalación se explican al administrador del sistema para obtener mejor conocimiento y resultados.
Después de la instalación, la mayoría del contenido, que incluye informes y reglas de correlación, se pueden adaptar a entornos empresariales específicos de usuario. La distribución de los paquetes de contenido se proporciona mediante el Servidor de Reglas McAfee ESM existente, de manera que no se requieren cambios adicionales de red o firewall para acceder a las actualizaciones. Esto también permite que el nuevo contenido sea publicado y desplegado entre ciclos, sin requerir ningún tiempo de inactividad operativa para la plataforma SIEM.