Si es como muchos profesionales de seguridad de TI, siempre ha podido confiar en su SIEM para proporcionar datos de registro para la detección de amenazas. Pero eso no es suficiente para mantenerse al día con todas las nuevas amenazas de nuevas fuentes que están bombardeando a las organizaciones hoy en día. ¿Puede su SIEM hacer todo lo necesario para detectar y responder a estas amenazas crecientes? ¿Qué debe hacer para garantizar que la solución en la que confía para la detección de amenazas esté a la altura?
Mire más allá de los registros: Claro, los registros pueden decirle dónde ha estado un atacante. Es útil saberlo, pero no es suficiente. ¿Qué estaba haciendo el atacante? Necesita visibilidad en los paquetes de datos de red para responder esa pregunta. ¿Dónde comenzó el ataque? Para cerrar la última milla de su investigación y ver qué proceso en un punto final particular está en la raíz del ataque, debe poder ver lo que está sucediendo en los puntos finales donde residen las amenazas. Si no tiene vistas claras de los registros, paquetes y puntos finales, se está perdiendo lo que necesita para defenderse de las amenazas. “Pero tengo otras herramientas para mirar paquetes y puntos finales”, dice. Eso es bueno, pero a menos que tenga una única plataforma integrada para ofrecer vistas en más de una fuente de datos, perderá mucho tiempo cambiando manualmente entre herramientas y correlacionando todo lo que entra y quién sabe qué amenazas van pasar de largo mientras tanto.
Obtenga soporte para la priorización: Más amenazas significan más alertas, pero no necesariamente más personas calificadas en su equipo para detectarlas y responderlas. Es por eso que es fundamental tener la capacidad de evaluar instantáneamente qué amenazas son las más urgentes y establecer prioridades en consecuencia. Si no puede distinguir un ataque en el servidor donde se almacena todo su código fuente de un ataque en el servidor con el menú de la cafetería, y la acción es urgente, su equipo no tiene más remedio que adivinar. Como resultado, pueden terminar respondiendo a la amenaza menos crítica mientras el otro continúa causando estragos. Esta es la razón por la cual la integración con la información de riesgo del negocio es importante, para que la solución comprenda qué usuarios y sistemas son críticos. De lo contrario, ¿cómo puede su equipo responder con confianza a las amenazas más críticas primero?
Escale a medida que crece: Con operaciones y personas en más lugares (y en más tipos de entornos de TI) que nunca, la escalabilidad no es negociable en los sistemas en los que confía para la detección y respuesta de amenazas. ¿Su arquitectura SIEM hace que sea fácil y asequible escalar en múltiples sitios y en entornos físicos, virtuales y en la nube? ¿O se verá obligado a rediseñar todo su enfoque cada vez que realice un cambio importante?
Necesita una solución integral y práctica que brinde visibilidad, información y escalabilidad para responder de manera efectiva a las amenazas cibernéticas. Busque uno que:
- Recopila datos hasta los puntos finales, o la “última milla” de las investigaciones cibernéticas.
- Correlaciona datos de seguridad en registros, paquetes de red y puntos finales.
- Proporciona múltiples tecnologías, incluyendo análisis de comportamiento para detectar anomalías.
- Sabe qué usuarios y sistemas son críticos para que pueda priorizar las alertas.
Si su solución SIEM ya no es todo lo que necesita, es hora de exigir más. Contáctenos y obtenga más información sobre lo que necesita hoy para mejorar la visibilidad de las amenazas, responder más rápido y aumentar el impacto de su equipo, y vea lo que la plataforma RSA NetWitness® puede hacer por usted.
