IBM QRadar “cloud-native” SIEM sobre Red Hat OpenShift
Tu SIEM no se ha quedado antiguo, es que las amenazas y la ciberseguridad avanzan muy rápido
Los entornos de nube híbrida actuales evolucionan y se amplían al ritmo de las amenazas que los acechan. Creando una superficie de ataque mayor y más compleja que proteger. En los departamentos de TI cada vez es más difícil diferenciar las amenazas reales de los falsos positivos. No queremos que ocurra lo del célebre cuento de Pedro y el Lobo. Y que, el día que pase algo, aunque lo detectemos, se ignore por saturación de nuestros analistas y personal del SOC en general.
La detección temprana de amenazas se desde hace años progresivamente ralentizada por tecnologías aisladas, búsquedas manuales y una sobrecarga de alertas que carecen de contexto suficiente o de una visualización clara. Es dificil defenderse de lo que ni se comprende, ni se acaba de ver. Los humanos, somos humanos, y nuestros analistas, también lo son. Los datos demuestran que en los Centros de Operaciones de Seguridad (SOC) se llegan a revisar en detalle menos de la mitad (41%) de las alertas que pasan los “filtros del SIEM”. Esto incluso aplica a los SOC de nuestros clientes que usan QRadar, pues su correcta configuración y ajuste permanente requiere de recursos humanos y tiempo de los que no se dispone.
Por ello IBM lleva años trabajando en un nuevo IBM Security® QRadar® SIEM nativo para la nube, que utiliza múltiples capas de IA y de automatización para mejorar de una manera drástica y radical, la calidad de las alertas y la productividad de los analistas de seguridad en su día a día. Gracias a sofisticados modelos de IA pre entrenados en decenas de millones de alertas de los miles de clientes de IBM en todo el mundo, el nuevo QRadar SIEM proporciona el contexto y la priorización de de amenazas que se requiere hoy en día. Algo que, con sinceridad, no estábamos logrando a pesar de tener (desde el punto de vista de SIXE) el mejor SIEM y SOAR del mercado.
6 Beneficios para tu SOC (y tu seguridad)
- Priorización de alertas basada en riesgos REALES
IBM QRadar SIEM, cloud-native, utiliza algoritmos inteligentes para aplicar múltiples capas de puntuación de riesgos a cada observable dentro de un caso. Los analistas de seguridad sólo reciben una alerta para los casos más importantes, de modo que saben exactamente dónde concentrar su tiempo y energía.
- Búsqueda federada para la detección proactiva de amenazas
La búsqueda federada le proporciona flexibilidad para elegir entre los datos de misión crítica que se ingieren en su SIEM y la búsqueda de datos donde residen. Podemos seguir funcionando con las bases de datos que tengas, incluidas las de otros fabricantes enriqueciendo y mejorando la información disponible en QRadar.
- Bienvenidos los estándares abiertos. Soporte para reglas Sigma
Con soporte nativo para reglas Sigma de código abierto, QRadar SIEM native-cloud crea un lenguaje común compartido para que los analistas de seguridad superen el reto de escribir reglas en plataformas SIEM propietarias. Ahora, los analistas de seguridad pueden importar rápidamente instrucciones nuevas, validadas y de origen colectivo directamente de la comunidad de seguridad a medida que evolucionan las amenazas.
- Investigación automatizada con respuestas recomendadas.. ¡por defecto!
QRadar SIEM (cloud-native) utiliza enriquece y complementa los datos sobre amenazas de manera automatizada, evalúa riesgos, realiza mapeos de actividades en seguimiento y analiza el origen de los incidentes de seguridad. Con la automatización pre-configurada, tenemos información resumida y recomendaciones en un solo lugar, que los analistas pueden poner en práctica o tomar como recomendación para continuar sus análisis.
- Adios Ariel (SQL). Hola Kusto (KQL)
Mientras que los lenguajes derivados de SQL están diseñado para gestionar datos estructurados en bases de datos relacionales. KQL está diseñado para consultar grandes volúmenes de datos estructurados y semiestructurados, incluidos registros y datos telemétricos, en escenarios de análisis en tiempo real. Con KQL puedes programar la monitorización en QRadar casi en tiempo real para tener automáticamente de la información más actualizada disponible y usable.
- Amenazas externas bajo control.
QRadar se conecta a X-Force® Threat Intelligence para tener acceso en tiempo real a la mayor base de datos de amenazas externas del mundo. Incluyendo actores maliciosos, vulnerabilidades, virus o ataques de rasomware. Olvídate de perder horas leyendo o investigando por tu cuenta. Todo funcionando por defecto y sin hacer un click.
Desde XDR y SOAR hasta QRadar nativo para cloud, te acompañamos en el viaje
Fácil de integrar con otros productos y soluciones
Nuestros clientes son industrias, farmacéuticas, bancos y aseguradoras. Pero también administraciones públicas y PYMES. Nos adaptamos a las necesidades de ciberseguridad OT y OT específicas de cada organización, proponiendo e integrando diferentes soluciones en QRadar SIEM / XDR de fabricantes como Tenable, Nozomi Networks, Qualsys o Rapid7. Disponemos de más de 700 integraciones pre integradas de QRadar con productos de otros fabricantes líderes en sus respectivos sectores y totalmente complementarios y necesarios.
Integración automática con IBM (QRadar) SOAR
La seguridad se basa en personas, procesos y tecnologías. Con IBM QRadar SOAR cuentas con cientos de integraciones y herramientas de TI y DevOps. Automatiza vía playbooks (por ejemplo de Red Hat Ansible) las tareas repetitivas de tu departamento de TI relacionadas con la ciberseguridad ante cualquier alerta de tu SIEM. Desde aplicar parches, cambiar configuraciones o incluso desconectar y apagar un sistema que suponga un peligro para tu red. La instalación y despliegue de aplicaciones en IBM SOAR sólo lleva unos minutos y se hace íntegramente vía web.
Servicios adaptados a las necesidades de nuestros clientes
En SIXE vendemos, desplegamos, migramos y mantenemos actualizadas las instalaciones de QRadar XDR y ahora también cloud-native. Nuestros servicios incluyen el soporte técnico a través de distintas opciones: contratos mensuales, bolsas de horas así como proyectos cerrados (llave en mano). Colaboramos tanto con clientes finales como con empresas que ofrezcan servicios gestionados y que puedan beneficiarse de nuestra experiencia y know-how.
¿Necesitas formación? Consulta nuestros cursos de arquitectura, administración, analista de ciberseguridad, QVM y preparación de certificaciones oficiales. Toda nuestra oferta formativa es totalmente adaptable a las necesidades de cada uno de nuestros clientes.
Si empiezas de cero, te ayudamos a poner en marcha tu SOC (Security Operations Center)
Poner un marcha un SoC requiere de varios años y mucho talento para que además de existir, funcione. Os ayudamos en todo el proceso, desde la formación de los equipos hasta la puesta en marcha del servicio al que podemos seguir proporcionando soporte técnico de L3 el tiempo que sea necesario.