BigSIEM

BigSIEM

BigSIEM es nuestro motor de correlación de eventos de seguridad. Desde aquí, gestionamos la seguridad de los eventos con el objetivo de proporcionar una detección y respuesta rápida ante cualquier amenaza sobre los sistemas informáticos.

BigSIEM fusiona cuatro grandes sistemas:

• BigDATA: clúster de crecimiento dinámico, tanto horizontal como vertical, para el almacenamiento, recolección y análisis de logs y eventos de monitorización.
• Threat Analyzer: análisis heurístico y en base a firmas propias y de terceros. Se incluyen más de un centenar de proveedores, entre los que se encuentran los más grandes del mercado (AlienVault, Snort, Suricata, etc.).
• Dynamic Malware Analyzer: SandBox propia e integración con más de 50 proveedores para el análisis de malware, tanto en demanda como de forma automatizada en base a la monitorización definida. Es capaz de analizar la mayoría de las descargas detectadas, lo que supone un extra sobre las medidas de seguridad del antivirus.
• Intelligence Engine: Nuestro motor de inteligencia es un desarrollo ad hoc, diseñado por nuestros ingenieros y analistas en inteligencia y seguridad. Es capaz de realizar correlación de eventos, detección heurística avanzada, monitorización y alerta, aprendiendo del comportamiento de los sistemas de nuestros clientes.

¿Qué conseguimos?

• Análisis en tiempo real
• Almacenamiento y registro de los datos
• Categorización y de los registros
• Inteligencia de negocio
• Alertas y notificaciones
• Herramientas de visualización y control
• Priorización de eventos
• Reporting
• Cumplimiento

BigSOAR – Contención de incidentes

BigSOAR es un conjunto de drivers o interfaces que interconectan BigSIEM con los sistemas gobernados por nuestro Centro de Operaciones. Permite llevar a cabo acciones de contención inmediata, ejecutando acciones sobre estos sistemas cuando se produce una brecha, reduciendo la probabilidad de éxito del atacante.

¿Qué acciones puede ejecutar BigSOAR?

• Bloquear un usuario en Active Directory (Azure u OnPremises) cuando se detecta un login no autorizado (tras una fuerza bruta, ante la sospecha de un robo de credenciales, desde ubicaciones no autorizadas, etc.).
• Bloqueo en firewall de tráfico entrante malicioso. Esto se produce, por ejemplo, ante ataques de intrusión a los servidores.
• Bloqueo en firewall de tráfico saliente hacía una dirección maliciosa, por ejemplo, ante una exfiltración de datos.
• Bloqueo en el firewall de una dirección IP interna. Se trata de una medida adicional y más rápida al aislamiento del host en el EDR.
• Expulsar a un usuario de una VPN-SSL de un firewall cuando se identifica que su login es malicioso.
• Aislar un puesto de trabajo en la red cuando se detecta una actividad maliciosa en el mismo, mediante una acción con el EDR.
• Matar un proceso en todos los sistemas de la red.
• En casos muy graves, orden remota de apagado de los servidores de la red, para evitar la propagación de un malware o reducir su impacto.

BigSOAR se integra con los principales fabricantes del mercado (Fortinet, Paloalto, Trendmicro, Bitdefender, Sophos, Checkpoint, Windows, Linux, etc.).