El primer reto para la gestión de la seguridad es detectar los incidentes de seguridad en el menor tiempo posible. Las herramientas básicas para este objetivo son los SIEM (Security Information and Event Management), que recogen la información de los sistemas y las herramientas de seguridad, la normalizan y la correlan para detectar dichos incidentes. El mantenimiento y operación de un SIEM es una actividad que requiere una constante atención y ajuste para que sea eficaz.
SandaS CA es el módulo de SandaS que se integra con el SIEM y lo complementa con:
- Procesamiento de la información que recibe el SIEM con un conjunto de algoritmos propios que permiten detectar actividades que pueden pasar desapercibidas para estos. Estos algoritmos no sólo procesan la información obtenida localmente, sino que añaden información agregada de todos los clientes así como información externa procedente de nuestras fuentes de ciberseguridad para conseguir mayor fiabilidad en la detección.
- Generación de las correspondientes alertas, que son inyectadas al SIEM para un tratamiento unificado de las mismas.
- Recolección de las alertas del SIEM, tanto por su correlación nativa como las generadas por SandaS, para su tratamiento automatizado mediante el módulo SandaS RA.
- Recolección de datos agregados que se mostrarán en el Dashboard en forma de indicadores y métricas.
SandaS CA se instala típicamente en la misma red local del SIEM, ya que requiere acceso directo a este. Dispone de un SDK de integración para construir los conectores que permiten la integración con el SIEM, y ya hay conectores desarrollados para los SIEMs de Alienvault, HP Arcsight e Intel Security.
Una vez detectado un incidente, el siguiente paso es categorizarlo de una forma homogénea, asignarle una criticidad acorde con la que le da cliente según los elementos y el a los que afecta, notificar a los actores relevantes para su tratamiento y resolución, y ejecutar acciones de resolución o remediación. Para cubrir de forma automática toda esa actividad se ha creado SandaS RA.
SandaS RA implementa un flujo de procesamiento que recoge las alertas y notificaciones en general, y en función de los parámetros de la alerta y de reglas definidas por el usuario (un operador del SOC) le asigna una categoría y una criticidad. Las alertas repetidas son agrupadas, para evitar repetir las siguientes fases sin necesidad. A continuación se realizan los procesos de notificación que se hayan configurado para esa alertas, que pueden consistir en la apertura de un caso en el sistema de ticketing del SOC y/o el sistema de ticketing del cliente, el envío de correo con plantillas configurables o avisos por SMS. También se pueden lanzar acciones automáticas de resolución o remediación, como bloqueos de IPs o URLs en los cortafuegos, IPS o proxy web del cliente, cuando están gestionados desde el mismo SOC.
Sandas RA cuenta con interfaces para la integración con los sistemas de notificación y con los conectores que implementan las acciones de respuesta. Las alertas ya categorizadas y en su caso la información de los tickets creados para el seguimiento de los incidentes son enviadas a nuestra plataforma de Seguridad Global, basada en tecnologías de Big Data con productos como Sinfonier, nuestra tecnología para la detección de ciberamenazas basada en el procesamiento de información en tiempo real, para su almacenamiento y visualizar toda esa información relevante tanto para el cliente como para la propia operación en un portal (SandaS Dashboard), que muestra en tiempo real información relevante de seguridad: alertas, incidencias, tickets, SLAs y KPIs.
Con todos estos componentes, SandaS permite agilizar y dar una visibilidad completa de la gestión que realiza un SOC en las tareas de monitorización de la seguridad de una organización, y se convierte en el pilar para la prestación de los servicios de seguridad gestionada.
SandaS Technical Lead
