
[23/01/2025] Kaspersky ha presentado una importante actualización de su solución de gestión de eventos e información de seguridad (SIEM). Según lo señalado en el comunicado de prensa, la plataforma mejorada proporciona un nuevo módulo de IA para una clasificación de alertas más rápida y eficaz, ayuda a visualizar las dependencias de recursos y permite ampliar las capacidades de búsqueda.
"Kaspersky SIEM es un centro de operaciones de seguridad (SOC) basada en una pila de tecnología impulsada por IA y reforzada por Inteligencia de amenazas. La plataforma recopila datos de registro y enriquece con información contextual e inteligencia de amenazas procesable para proporcionar todos los datos necesarios para la investigación y respuesta a incidentes, al tiempo que permite Respuestas automatizadas a alertas y búsqueda de amenazas”, sostuvo Ilya Markelov, jefe de Plataforma Unificada Línea de productos en Kaspersky.
Nuevo módulo de IA: El ejecutivo anotó que Kaspersky SIEM incorpora un nuevo módulo de IA que mejora el triaje de alertas e incidentes mediante el análisis de datos históricos, mientras que la puntuación de riesgos de los activos basada en IA proporciona valiosas hipótesis para búsquedas proactivas.
"Este módulo analiza cómo la característica de una actividad concreta está relacionada con diferentes activos: estaciones de trabajo, máquinas virtuales, teléfonos móviles, etc. Si una alerta detectada por el sistema como resultado de la correlación de eventos no es típica del activo en el que se detecta, dicha detección se marca en la interfaz con un estado adicional. Por lo tanto, los analistas pueden ver rápidamente los incidentes que requieren atención inmediata”, explicó Markelov.
Recopilación de datos por el agente de Kaspersky Endpoint Security: Anteriormente, anotó el ejecutivo, para recopilar datos de estaciones de trabajo que ejecutaban Windows y Linux, era necesario instalar un agente SIEM en cada estación o configurar la transmisión de datos a un host intermedio y, a continuación, configurar el intercambio de datos con el SIEM. "Ahora, si el agente de Kaspersky Endpoint Security está instalado en el host, puede enviar datos directamente al sistema SIEM. Estos datos se pueden utilizar para búsquedas, análisis y correlación de eventos posteriores. De este modo, se elimina el paso adicional de instalar y supervisar agentes SIEM independientes para los clientes que ya utilizan productos Kaspersky para la seguridad de puntos finales”.
Gráfico de dependencias de recursos y capacidades de búsqueda ampliadas: Markelov señaló que la plataforma también ha mejorado sus capacidades de búsqueda y ahora permite a los clientes visualizar cómo los recursos (filtros, reglas, listas) están conectados entre sí. "Un gráfico de dependencias de recursos con una estructura jerárquica de carpetas facilita encontrar la consulta de búsqueda correcta para equipos grandes o múltiples búsquedas almacenadas. Los analistas pueden localizar de forma rápida y precisa los eventos relevantes o crear informes de «ventana móvil» definiendo los plazos de inicio y finalización de una consulta de búsqueda o un informe. El almacenamiento del historial de consultas de búsqueda permite al usuario acceder fácilmente a consultas anteriores”.
Versiones de contenido: Agregó que Kaspersky SIEM almacena el historial de cambios de recursos en forma de versiones. "Una versión del recurso se crea automáticamente cuando un analista crea un nuevo recurso o guarda cambios en los parámetros de un recurso existente. El almacenamiento de versiones simplifica la interacción dentro de los equipos de analistas. Por ejemplo, un miembro del equipo puede ver los cambios que un colega ha realizado en una regla de correlación y, si es necesario, deshacerlos”, explicó Markelov.
Asignación única de campos: Con la plataforma actualizada, el ejecutivo comentó que los analistas pueden ahora añadir una serie de valores de campo especificados de la sección de campo único de la regla de correlación a un evento de correlación, ahorrando así tiempo al eliminar la necesidad de buscar entre los valores de campo de los eventos subyacentes.
"Kaspersky SIEM también permite añadir valores de campo específicos a una excepción si una alerta se identifica como falso positivo. Cada regla de correlación genera una lista de excepciones independiente, lo que permite a los analistas centrarse en las alertas críticas y reducir rápidamente el 'ruido' de las reglas de correlación”, finalizó Markelov.
Franca Cavassa, CTOPerú