Presione soltar

Versión de lanzamiento de SGBox 5

La nueva versión proporciona a los usuarios sistemas de análisis avanzados y una arquitectura de back-end renovada.

 

SGBox, empresa italiana líder en desarrollo y gestión de sistemas SIEM, anuncia el lanzamiento de la versión 5 de su plataforma de detección y respuesta, con numerosas funciones dedicadas, que le permiten aprovechar al máximo la plataforma de Gestión de Eventos e Información de Seguridad.

Esta versión integra un back-end completamente rediseñado, para lograr un mayor rendimiento en la extracción y análisis de logs, incluso cuando se opera en grandes bases de datos.

También se ha introducido una función de reconocimiento y configuración automática de fuentes de datos conocidas, para minimizar el proceso de configuración inicial y la actualización de la configuración.

La nueva versión de la solución SIEM SGBox ofrece numerosas mejoras en la interfaz de usuario, con optimizaciones y la capacidad de realizar búsquedas complejas.

En cuanto al modo multiinquilino, SGBox v5 introduce una serie de nuevas funciones destinadas a hacer que el acceso a los datos sea más inmediato. Entre las principales características, se encuentra la posibilidad de gestionar inquilinos en una única consola y de forma centralizada en caso de incidencias.

Hemos propuesto nuevas funciones diseñadas específicamente para entornos de Microsoft para detectar amenazas potenciales en puntos finales, así como monitorear cambios en archivos confidenciales, y hemos mejorado el soporte para feeds de terceros para refinar las correlaciones y la recopilación de datos, posibles índices de compromiso (IOC). 

“Para identificar un ataque dirigido dentro de sus sistemas de TI es necesario tener la máxima visibilidad de los posibles puntos vulnerables”

explica Massimo Turchetto, CEO y fundador de SGBox.

“Hemos decidido satisfacer estas necesidades combinando la telemetría generada por una herramienta de software que Microsoft pone a disposición para endpoints con las capacidades de análisis típicas de una plataforma SIEM”.

Nuevas funciones introducidas:  

  • Los paneles ahora se pueden derivar de plantillas de análisis multiclase, no solo de eventos. De esta forma es posible realizar búsquedas complejas y utilizar los resultados de estas búsquedas para alimentar cuadros de mando de la misma forma que se utiliza para mostrar eventos normales.
  • Puede crear informes basados ​​en el contenido de los paneles. Se puede asociar una bandera de impresión con cada widget de “Análisis de patrones”. Si también se seleccionan los widgets del tablero para imprimir, se presenta una nueva categoría de informe llamada “Tablero” en la lista de informes. Como todos los informes, incluso los derivados de los cuadros de mando pueden generarse en tiempo real o programarse para enviarse a intervalos definidos.
  • La consola de administración de múltiples inquilinos ahora le permite obtener estadísticas de uso (eps, volumen y cantidad de registros recopilados, no. De hosts) agregadas para todos los inquilinos o solo para un subconjunto en intervalos de tiempo definibles por el usuario o en tiempo real. La misma funcionalidad también está disponible para el inquilino único que pertenece al multiinquilino o para la versión local de SGBox.
  • Es posible centralizar información sobre alarmas e incidentes, no solo de inquilinos locales sino también de instalaciones de inquilinos múltiples o inquilinos remotos únicos, directamente en la consola, para obtener una descripción general de las alarmas provenientes de todos los SGBoxes administrados. Desde aquí es posible volver a los eventos desencadenantes para profundizar el análisis.
  • Introducción de la función ETL (Event Text Lookup) que le permite buscar un campo arbitrario en todos los eventos. De esta forma, el usuario puede buscar un determinado valor hacia atrás en el tiempo en todos los eventos que tienen ese valor. La búsqueda se puede aplicar tanto al tipo de parámetro original como a otro parámetro. Por ejemplo, puede buscar una dirección IP detectada en un evento tanto como IP de origen como IP de destino.
  • Administrador de registros en línea: ahora es más fácil para el usuario administrar los registros en el almacenamiento en línea para permitir una administración más flexible de los datos sin procesar, mientras se mantiene la integridad de los datos en sí. Los datos brutos, siempre guardados en formato comprimido, cifrado y firmado, se pueden mover fácilmente al almacenamiento en línea para su análisis inmediato.
  • Se agregó la funcionalidad de panel de control de suplantación y análisis de patrones entre inquilinos en la consola de múltiples inquilinos. Mediante esta función es posible obtener en un solo punto una vista similar a la obtenida con la vista “Análisis de clase / patrón”, pero capaz de recolectar información simultáneamente de todos los inquilinos.
  • Introducción de una nueva forma de ver los eventos: las incidencias. Ahora es posible hacer que las reglas de correlación asocien los eventos resultantes en clases específicas llamadas “clase de incidente”, dedicadas a recolectar las alarmas generadas por las reglas. La versión multiusuario también permite representar en el tablero las agregaciones de alarmas provenientes de todos inquilino simplificando su análisis.
  • Herramienta de causa raíz: a partir de un incidente, es posible rastrear los eventos que desencadenaron la regla, obtener los registros de los que se extrajeron y visualizar, en un intervalo de tiempo configurable, los registros que precedieron y siguieron a los eventos en cuestión. Si la herramienta se aplica a un evento genérico, aún es posible obtener evidencia del registro del que se extrajo y el flujo de registros pertenecientes a un intervalo de tiempo que precede y sigue al evento.
  • Módulo SM: informe resumido agregado (con programación relativa) de los resultados de las verificaciones relacionadas con: disponibilidad del sistema, uso de RAM, CPU y ocupación del disco.
  • Módulo NVS: incorporación de un nuevo tipo de informe vinculado a la detección de nuevas vulnerabilidades en un activo. El usuario puede decidir que el informe se envíe al final de un análisis de vulnerabilidades programado solo si se encuentran vulnerabilidades que no estaban presentes en el análisis anterior en el activo que se analiza.
  • Reconocimiento automático: se han agregado una serie de perfiles, proveedores y clases predeterminados. Al activar el reconocimiento automático desde las opciones avanzadas y activar los perfiles desde el menú LM -> Configuración -> Perfiles, los hosts que envían logs se reconocen automáticamente como pertenecientes a un proveedor y se colocan en las clases. Por lo tanto, sgbox recopila eventos automáticamente.
  • Se agregó el comando “checkfolder” para monitorear la integridad de los archivos con el agente de Windows.

 

Periódicos online

TechFromTheNet – Leer el artìculo

Il corriere della sicurezza – Leer el artìculo 

EDGE9 – Leer el artìculo 

EDP – Leer el artìculo