[21/08/2024] Ante los crecientes retos a los que se enfrentan los equipos de ciberseguridad, Kaspersky ha presentado una importante actualización en Kaspersky Unified Monitoring and Analysis, un sistema de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés). La funcionalidad mejorada está diseñada para reforzar la productividad de los equipos de ciberseguridad ampliando las capacidades de detección y respuesta ante amenazas.
"La plataforma Kaspersky Unified Monitoring and Analysis es una solución SIEM de nueva generación para la gestión de datos y eventos de seguridad. La plataforma no sólo recopila, agrega, analiza y almacena datos de registro de toda la infraestructura de TI, sino que también proporciona enriquecimiento contextual y perspectivas procesables de inteligencia sobre amenazas. Estas funcionalidades son muy útiles para los expertos en seguridad informática en muchos casos. Kaspersky ha añadido nuevas funciones que permiten a los profesionales de la ciberseguridad navegar mejor por la plataforma y detectar eficazmente las amenazas a tiempo”, sostuvo Ilya Markelov, responsable de la línea de productos de plataforma unificada de Kaspersky, en el comunicado de prensa.
- Reenvío de eventos desde oficinas remotas a un único flujo. El ejecutivo comentó que se ha añadido un enrutador de eventos para reducir la carga de los canales de comunicación y disminuir el número de puertos que se abren en los firewalls de red. "Éste recibe los eventos de los recopiladores y los envía a los destinos especificados en función de los filtros configurados para el servicio. El uso de un servicio intermedio como éste permite equilibrar eficazmente la carga entre enlaces y utilizar enlaces con poco ancho de banda”.
- Agrupación por campos arbitrarios, utilizando funciones de redondeo temporal desde la interfaz de eventos. Durante las investigaciones, anotó Markelov, los analistas necesitan seleccionar eventos y construir consultas con agrupaciones y funciones de agregación. "Ahora los clientes pueden ejecutar consultas de agregación simplemente seleccionando uno o varios campos, que pueden utilizar como parámetros de agrupación, y haciendo clic en 'Ejecutar consulta'”.
- Búsqueda de eventos en múltiples almacenamientos seleccionados. De acuerdo al ejecutivo, ahora es posible lanzar una consulta de búsqueda simultáneamente en varios clústeres de almacenamiento y obtener los resultados en una única tabla consolidada. "Esta capacidad permite una recuperación más eficaz y sencilla de los eventos necesarios en clústeres de almacenamiento distribuidos. La tabla combinada indica la ubicación de almacenamiento de cada registro”.
- Asignación de reglas a MITRE ATT&CK. Markelov explicó que se ha creado un mecanismo para ayudar a los analistas a visualizar la cobertura de la matriz MITRE ATT&CK mediante reglas desarrolladas, evaluando así el nivel de seguridad. "La funcionalidad también permite a los analistas importar un archivo actualizado con la lista de técnicas y tácticas al sistema SIEM, especificar las técnicas y tácticas detectadas por una regla en sus propiedades, y exportar una lista de reglas del sistema SIEM marcadas de acuerdo con una matriz al Navegador MITRE ATT&CK”.
- Recopilación de registros de DNS Analytics. El nuevo transporte ETW (Event Tracing for Windows) utilizado para leer las suscripciones de DNS Analytics proporciona un registro DNS ampliado, eventos de diagnóstico y datos analíticos sobre las operaciones del servidor DNS. "Esto proporciona más información que el registro de depuración de DNS y afecta menos al rendimiento del servidor DNS”, finalizó Markelov.
Franca Cavassa, CTOPerú