Uma visão mais detalhada de SandaS

ElevenPaths    29 febrero, 2016
SandaS é o produto que tem sido desenvolvido pela ElevenPaths para dar resposta aos desafios que enfrentam aqueles que tem responsabilidade por pela gestão da segurança lógica de uma organização.

O primeiro desafio para a gestão da segurança é detectar incidentes de segurança no menor tempo possível. As ferramentas básicas para este fim são o SIEM (Security Information e Event Management), que recolhem as informações de sistemas e de ferramentas de segurança, normalizam e correlacionam os dados para detectar incidentes. A manutenção e operação de um SIEM é uma atividade que requer atenção constante e ajuste para que seja eficaz.

SandaS CA é o módulo de SandaS que se integra com o SIEM e o complementa com:

  • Processamento da informação que recebe SIEM com um conjunto de algoritmos próprios que permitem detectar atividades que podem passar despercebidos por estes. Esses algoritmos não somente processam a informações obtida localmente, mas agrega inteligência de todos os clientes assim a partir de nossas fontes externas de segurança cibernética para maior confiabilidade na detecção.
  • Geração dos alertas correspondentes, que são injetados numa SIEM para o tratamento unificado.
  • Coleta dos alertas de SIEM tanto pela sua correlação nativa como as geradas por SandaS, para o processamento automático mediante o módulo SandaS RA.
  • Informação de dados agregados que de mostram no painel do Dashboard em forma de indicadores e métricas.

SandaS CA é normalmente instalado na mesma rede local SIEM, já que requer acesso direto a ele. Dispõe de um SDK de integração para construir conectores que permitem a integração com o SIEM, onde já estão desenvolvidos conectores para os SIEMs de AlienVault, HP ArcSight e Intel Security.

Uma vez detectado um incidente, o próximo passo é para categoriza-lo de uma forma homogênea, atribuindo uma criticidade de acordo com a definição do cliente, segundo os elementos que são afetados, notificar os atores relevantes para o tratamento e resolução e executar ações de resolução ou de remediação. Para se cobrir todo o escopo de forma automática é que foi criado o SandaS RA.

SandaS RA implementa um fluxo de processamento que coleta os alertas e notificações em geral, e, dependendo das configurações de alerta e regras atribuídos pelo usuário (um operador SOC) se atribuiu uma categoria e uma criticidade. OS alertas repetidos são agrupados, para evitar a repetição das seguintes fases sem necessidade. Na sequência se realizam os processos de notificação que são configurados para esse alerta, que podem incluir a abertura de um caso em que o sistema SOC ou de ticketing do cliente, onde há envio de e-mail com planilhas configuráveis ou alertas SMS. Também é possível fazer chamadas para ações automáticas de remediação ou resolução, como bloqueios IPs ou URLs no firewall, IPS ou proxy web do cliente, quando são geridos a partir do mesmo SOC.

SandaS RA conta com interfaces para a integração com sistemas de notificação e conectores que implementam ações de resposta. Os alertas já categorizados e caso a informação dos tickets criados para rastrear incidentes são enviadas para nossa plataforma de Segurança Global, baseado em tecnologias de Big Data com produtos como Sinfonier, nossa tecnologia para a detecção de ameaças cibernéticas baseadas no processamento de informações em tempo real, para seu armazenamento e visualização de toda essa informação relevante como para à própria operação em um portal (SandaS dashboard), que mostra em tempo real a informação relevante de segurança: alertas, incidentes, tickets, SLAs e KPIs.

Com todos estes componentes, SandaS, permite acelerar e dar visibilidade completa de gestão que realiza um SOC nas tarefas de monitoração de segurança de uma organização, se tornando o pilar para a prestação de serviços de segurança gerenciados.

Enrique Díaz
SandaS Technical Lead

traduzido por Leandro Bennaton
CSA Brazil

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *