Interset UEBA | Use Cases

Impulsado por el aprendizaje de la máquina y la IA, Interset UEBA hace que los equipos SOC sean más efectivos en la detección de amenazas, el triaje y la investigación.

Detección de amenazas desde dentro

Los empleados, contratistas, socios y usuarios privilegiados pueden todos convertirse en amenazas desde el interior. Son difíciles de detectar y tienen resultados devastadores si tienen éxito. La plataforma de Interset fortalece los equipos de seguridad con visibilidad a lo largo de puntos extremos, servidores, redes e incluso terabytes de datos de registro.

Interset es la única plataforma de detección de amenazas que le ofrece una imagen completa de las amenazas desde el interior, desde el extremo interno hasta el extremo final. Gracias al aprendizaje automático, Interset crea una imagen holística de procesos normales. Una vez detecta anomalías o actividades de alto riesgo, conecta estos eventos a los usuarios implicados, aumenta su puntuación de riesgo (radicalmente minimizando alertas de falsos positivos) y presenta el contexto del incidente en una interfaz clara, accionable e interactiva. Interset detecta y hace surgir las amenazas desde dentro al mismo tiempo que habilita a los equipos de seguridad para trabajar de forma más rápida y eficiente para mitigarlas.

Insider Threat Detection
Detección de ataques dirigidos

Los ataques cibernéticos de hoy en día penetran de forma regular los perímetros más sofisticados y de mayor profundidad de defensa. Las empresas deben monitorizar estas amenazas dentro de sus redes. Pero filtrar a través de ingentes cantidades de datos de eventos generalmente cosecha sobre todo falsos positivos. Construido en una plataforma auténtica de Big Data, Interset ingiere y analiza cantidades masivas de datos para mostrar ataques rápidamente y con precisión.

Interset detectará, conectará y visualizará una ruta de ataque -desde cuentas comprometidas a movimientos laterales, pasando por reconocimiento de datos, representación de datos y movimiento de datos para la exfiltración. Con este contexto, Interset puede mostrar ataques con rapidez, tal y como se desarrollan. Un analista recibe de inmediato visualizaciones y flujos de trabajo para habilitar la validación, investigación y respuesta eficientes.

Targeted Attack Detection
Datos sensibles y Protección IP

Muchos clientes implementan Interset en un programa de seguridad centrado en los datos porque los análisis proporcionan puntuaciones de riesgo para los bienes digitales, incluyendo proyectos en repositorios, unidades compartidas, servidores, etc.

Interset es también el único proveedor de análisis de seguridad que ofrece su propio sensor de punto final, y que correlaciona los datos de punto final con los datos de directorio y de repositorio de backend. La plataforma aborda de forma única los problemas de visibilidad del extremo interno al aplicar análisis de comportamiento a los registros de aplicación de repositorios IP, tales como la Gestión de Código Fuente (SCM). Interset señala con precisión a las actividades de alto riesgo para que los analistas puedan parar los malos comportamientos antes de una vulneración.

Sensitive Data and IP Protection
EDR de punto final

Las soluciones de respuesta y detección de punto final (EDR) proporcionan los datos más detallados y precisos para la detección de amenazas. Combinado con UEBA, que analiza miles de millones de eventos de punto final, los equipos de seguridad pueden detectar las señales de cuentas comprometidas, movimiento lateral, reconocimiento interno o exfiltración de datos, de forma rápida y efectiva. El UEBA de Interset ilumina desde otro ángulo la información del usuario como la frecuencia de inicio de sesión anormal, la fecha u hora de trabajo, o máquinas no usuales, añadiendo un valioso contexto para ayudar a detectar las amenazas difíciles de detectar.  

Combine el UEBA de Interset con los datos dinámicos de los puntos finales de CrowdStrike para descubrir rápidamente amenazas difíciles de encontrar, como las que provienen de personas con información privilegiada o de ataques dirigidos. Esta solución permite a los centros de operaciones de seguridad responder de forma más ininterrumpida a las amenazas al destilar miles de millones de eventos de punto final en una lista de pistas priorizadas, lo que reduce la fatiga de alerta y facilita centrarse en las amenazas que más importan.

Endpoint EDR
Optimización de las operaciones de seguridad

Pese a que los hechos fundamentales en los centros de operaciones de seguridad de hoy en día, los productos SIEM, DLP, IAM y NAC han creado brechas en la seguridad –demasiados falsos positivos y estructuras políticas terriblemente complicadas que reducen la capacidad de un centro de operaciones de seguridad para detectar, validar y responder con precisión a las amenazas. Los analistas pierden mucho tiempo intentando averiguar cuál es la amenaza de verdad. La plataforma de análisis avanzado de Interset se creó para maximizar la efectividad de las herramientas de seguridad existentes y optimizar las operaciones de seguridad.

UEBA de Interset correlaciona los datos recogidos de herramientas de seguridad existentes, tales como ArcSight, para proporcionar una vista de amplitud empresarial de las cuentas de usuarios y servicios, autenticación y acceso al sistema y los niveles de aplicación. La plataforma también presta conocimientos en el acceso y el movimiento de datos de alto riesgo, alimentando automáticamente los datos contextuales de vuelta hasta su SIEM o herramienta de respuesta de incidente. Y puede realizar llamadas API para activar los controles de TI en autenticación, DLP, o sistemas NAC.

Optimizing Security Operations
Detección de cuentas comprometidas

A causa del phishing, el malware, o una vulneración de los datos puede encontrarse con cuentas comprometidas. Los atacantes roban crecenciales de empleados y clientes para su lucro financiero, o para acceder a datos sensibles en otras aplicaciones y redes. Impulsado por un avanzado aprendizaje automático, la plataforma de Interset utiliza más de 60 algoritmos centrados en la detección de cuentas comprometidas entre cuentas de servicio y usuario. Interset es también el único producto de análisis de seguridad que puede correlacionar indicadores de puntos finales, directorios, ACL y registros de aplicaciones de múltiples colaboraciones de código múltiple y programas de software de control de versión. Esto cubre todos los tipos de ataques centrados en cuentas.

La expansiva visibilidad de Interset fortalece los equipos de seguridad para detectar compromisos en cuentas, conectando tales ataques a los IOC relacionados. En otras palabras, no solamente destaca de forma rápida y precisa las amenazas, sino que va un paso más allá para proporcionar la información contextual subyacente de un ataque antes de que alcance a su objetivo.

Compromised Account Detection
Generación de rastros de cazadores de amenazas

Interset hará sobresalir un ataque antes de que alcance a su objetivo. Pero eso es solo el principio. Después asistirá a los analistas de seguridad para validar ese ataque, integrarlo con el proceso de incidente-respuesta del negocio y proporcionar la información del incidente a los equipos en toda su organización. La interfaz de usuario proporciona una imagen tridimensional de un ataque, lo que resulta crítico para entender cómo pararlo. Las vistas de riesgos de entidades proporcionan a los analistas visualizaciones de la línea temporal del ataque, la tendencia al riesgo y nuevas anomalías a medida que un ataque se desarrolla. La vista de la línea temporal también incluye alertas de otros productos de seguridad e información de la inteligencia de amenaza relacionada con un ataque. Esto optimiza el proceso de validación y respuesta.

La plataforma de Interset incluye una integración abierta a Kibana/Elasticsearch y posee la capacidad de ejecutar análisis históricos para cualquier dato en el motor Elasticsearch. Los investigadores y los cazadores de amenazas tienen un acceso a un solo clic a información profunda a nivel de evento para un incidente. Adicionalmente, la integración nativa y RESTful API con múltiples sistemas de flujo descendente (p. ej. DXL, Phantom, Splunk, etc.) optimizan el proceso de respuesta e investigación, dando a los equipos de seguridad las herramientas que necesitan para parar un ataque antes de que los datos queden comprometidos.

Threat Hunting Lead Generation
Supervisión de cuentas privilegiadas

Los incidentes de alta visibilidad relacionados con Edward Snowden y otros nos han recordado lo ciegos que estamos frente las acciones de las cuentas privilegiadas. Si el empleado es la amenaza, o si sus credenciales han quedado comprometidas, el acceso a este tipo de cuenta puede llevar a una significativa pérdida.

Para cada cuenta privilegiada, Interset factoriza comportamientos como el tiempo, la autenticación, el acceso, el uso de la aplicación y el movimiento de los datos para delimitar cerca de 30 tipos distintos de comportamiento. Cuando una cuenta se desvía de sus límites, el análisis de Interset visualiza la actividad de usuario privilegiado, eliminando los falsos positivos a través de puntuaciones de riesgo, y luego alertando a la seguridad para que actúe.

Privileged Account Monitoring

Pida una demostración de Interset UEBA

¿Qué casos de uso son los que más le preocupan de su negocio? Programe una demostración con uno de sus profesionales de seguridad para aprender cómo UEBA de Interset puede darle las herramientas para potenciar su SOC

release-rel-2020-5-2-4497 | Thu May 28 12:30:11 PDT 2020
4497
release/rel-2020-5-2-4497
Thu May 28 12:30:11 PDT 2020