Detenga a los adversarios m¨¢s r¨¢pidamente con la detecci¨®n y respuesta avanzadas de live casino online.
La detecci¨®n y respuesta extendidas (XDR) utiliza una amplia gama de fuentes de datos para habilitar la detecci¨®n, investigaci¨®n y respuesta en m¨²ltiples capas de seguridad. XDR desmantela los silos de seguridad para identificar y revelar toda la historia del ataque en una ¨²nica visualizaci¨®n.
Cuando se trata de detecci¨®n de amenazas, la tarea del analista del centro de operaciones de seguridad (SOC) es atar cabos desde la infiltraci¨®n inicial hasta toda exfiltraci¨®n, pasando por el movimiento lateral. Este proceso permite una comprensi¨®n m¨¢s r¨¢pida de las acciones de respuesta e impacto necesarias.
Cuanta mayor cantidad de fuentes de datos y vectores de seguridad aporten a una plataforma ¨²nica e integrada de XDR, m¨¢s oportunidades habr¨¢ de correlaci¨®n y m¨¢s capacidad de obtener una respuesta y una investigaci¨®n m¨¢s completa.
Por ejemplo, actualmente un analista puede utilizar una herramienta de detecci¨®n y respuesta de endpoint (EDR) para obtener una visibilidad detallada de una actividad sospechosa en endpoints gestionados, pero tiene una visibilidad por silos y por separado del an¨¢lisis del tr¨¢fico y de las alertas de seguridad de la red. En lo que respecta a los workloads en la nube, el analista seguramente tenga una visibilidad muy limitada como para identificar una actividad sospechosa.
Cada parte del entorno genera alertas ruidosas que con toda probabilidad se env¨ªan a un sistema de eventos e informaci¨®n de seguridad (SIEM). El analista puede ver las alertas, pero dejar pasar un informe detallado de toda la actividad entre alertas. Sin tener una correlaci¨®n adicional, el analista pasar¨¢ por alto detalles importantes sobre el ataque, los cuales se quedar¨¢n enterrados en alertas sin contexto ni forma de conectar eventos relacionados.?
XDR une las capas para que los analistas de seguridad puedan tener una visibilidad m¨¢s amplia y explicar r¨¢pidamente qu¨¦ puede estar ocurriendo en la empresa, incluyendo la forma en la que el usuario se infect¨®, cu¨¢l fue el primer punto de acceso y qu¨¦ o qui¨¦n m¨¢s forma parte del mismo ataque.
Es necesario un registro de actividad de endpoint eficiente para analizar c¨®mo una amenaza pudo llegar, modificar y propagarse en los endpoints. Mediante el uso de XDR, puede rastrear indicadores de compromiso (IoC) y buscar amenazas con base en los indicadores de ataque?(IoA).
Detecta: busca e identifica eventos de endpoint peligrosos y sospechosos
Investiga: ?qu¨¦ ocurri¨® en el endpoint? ?De d¨®nde proviene el evento? ?C¨®mo se propag¨® en otros endpoints?
Responde: A¨ªsla el evento, detiene los procesos, elimina/restaura archivos
Muchas organizaciones podr¨ªan empezar con el endpoint, mediante herramientas de EDR. Si bien el EDR es un buen primer paso, puede pasar por alto el comienzo y/o el final de la historia del ataque. ?Qu¨¦ ocurri¨® antes de que acabara en el endpoint? ?Vino mediante email? ?Otras personas recibieron el mismo email? ?Qu¨¦ ocurri¨® tras acabar en el endpoint? ?Hubo movimientos laterales a un servidor o contenedor? ?Se propag¨® a un dispositivo no gestionado?
Dado que el 94?% de las filtraciones comienzan mediante email[1], la capacidad de identificar cuentas comprometidas y detectar amenazas maliciosas por email es una tarea fundamental de una capacidad de detecci¨®n de amenazas m¨¢s amplia de una organizaci¨®n.
Detecta: busca e identifica amenazas por email, cuentas comprometidas, usuarios atacados con mayor frecuencia y patrones de ataques por email.
Investiga: ?qui¨¦n ha promulgado la infiltraci¨®n? ?Qui¨¦n m¨¢s ha recibido el email malicioso?
Responde:? pone el email en cuarentena, bloquea a los remitentes del email, restablece cuentas.
El email, como principal vector de ataque, deber¨ªa ser un punto de expansi¨®n con prioridad para una detecci¨®n y respuesta entre capas. Las amenazas por email a menudo no afectan a endpoints hasta que el usuario hace clic en un adjunto o un enlace incrustado en el email. Una amenaza sin detonar podr¨ªa asentarse en m¨²ltiples bandejas de entrada sin detectar. La conexi¨®n de una detecci¨®n de endpoint con el email inicial le permite buscar autom¨¢ticamente bandejas de entrada para averiguar qui¨¦n m¨¢s recibi¨® el email malicioso y si la URL o adjunto malicioso tambi¨¦n est¨¢ presente en bandejas de entrada de otros usuarios. Posteriormente puede poner los emails en cuarentena y eliminar la amenaza para evitar mayores da?os y mayor propagaci¨®n.
Los an¨¢lisis de red son un gran recurso para encontrar ataques dirigidos, ya que se propagan de forma lateral o se comunican con servidores de comando y control (C&C). Los an¨¢lisis de la red pueden ayudar a separar eventos del ruido y a reducir puntos ciegos, como el internet de las cosas (IoT) y dispositivos no gestionados.
Detecta: busca e identifica comportamientos an¨®malos a la vez que las amenazas se expanden
Investiga: ?c¨®mo se comunica una amenaza? ?C¨®mo se mueve en la organizaci¨®n??
Responde: delimita el ¨¢mbito del ataque
Los registros de red proporcionan una completa fuente de datos que le ayudan a comprender el alcance de un ataque, pero sin correlacionar esos registros con otras alertas de seguridad resulta dif¨ªcil obtener el contexto que necesita para evaluar lo que es importante y est¨¢ relacionado. Por este motivo, la red y el endpoint crean una potente combinaci¨®n. Al correlacionar los datos es posible que, algo que parec¨ªa benigno en una capa del endpoint, como una actividad sospechosa de PowerShell, se convierta en una alerta de alta prioridad cuando se examina junto a la comunicaci¨®n C&C asociada con un servidor.
De forma muy similar a los endpoints, esto implica el registro de actividad eficiente para analizar de qu¨¦ manera una amenaza podr¨ªa haber llegado y haberse propagado en workloads de servidores y de la nube. Puede rastrear IoC y buscar con base en los IoA.
Detecta: busca e identifica amenazas dirigidas espec¨ªficamente a servidores, workloads en la nube y contenedores.
Investiga: ?qu¨¦ ocurri¨® en el workload? ?C¨®mo se propag¨®??
Responde: a¨ªsla el servidor, detiene procesos.
Las organizaciones pueden emplear herramientas EDR para workloads en la nube y servidores, pero, al hacerlo, pueden sacrificar la efectividad. El EDR por s¨ª solo no est¨¢ equipado para abordar nuevos modelos de la nube ni proporcionar el tipo de datos y visibilidad necesarios. Al igual que cualquier vector, la correlaci¨®n de la informaci¨®n procedente de entornos del servidor pueden validar actividad sospechosa como maliciosa, como los servidores que comunican con una direcci¨®n IP en un pa¨ªs con el que nunca antes hab¨ªan comunicado, vincul¨¢ndola a datos de actividad procedentes de otras capas, como endpoint y/o red.
El XDR nativo entra. El XDR abierto sale.
Utilice XDR para buscar, detectar, investigar y responder a las amenazas desde una sola plataforma de seguridad.