Long-term Search Cover Giacomo Lanzi

Long-term search: cosa c’e’ di nuovo nel servizio SOCaaS

Tempo di lettura: 4 min

Il ransomware viene comunemente portato a segno con una e-mail che inganna gli utenti a fidarsi di un file dannoso. Molte delle piu’ recenti violazioni dei dati sono state portate a termine perché un utente e’ stato vittima di un attacco di questo tipo nel periodo precedente. Minacce come il ransomware, che si concentrano sulla compromissione dell’utente, fanno si’ che sempre piu’ aziende adottino l’analisi comportamentale degli utenti e delle entita’ (UEBA) nel loro centro operativo di sicurezza (SOC). Le nuove funzioni del servizio SOC, tra cui la long-term search, sono orientate all’offerta sempre maggiore di strumenti aggiuntivi per la gestione ottimale della sicurezza aziendale.

Noi continuiamo nell’innovazione della nostra piattaforma per aumentare la potenza del SOC nel combattere ransomware e altre minacce. Nella nostra piu’ recente versione, abbiamo aggiunto un numero ancora maggiore di funzionalita’ di rilevamento basate sull’apprendimento automatico e context-aware che consentono agli analisti della sicurezza di affrontare le aggressioni piu’ sofisticate. Inoltre, gli ultimi aggiornamenti portano una sempre maggiore facilita’ d’uso per gli architetti della sicurezza.

Long-term search - novità SOCaaS

Long-term search per l’analista della sicurezza

Il servizio introduce una serie di innovazioni per ridurre i tempi di rilevamento e di risposta degli analisti della sicurezza e dei cercatori di minacce.

Miglioramento del rilevamento di minacce sofisticate

– La long-term search aiuta gli analisti a scoprire le minacce nascoste fornendo una capacita’ di ricerca sui dati archiviati. La ricerca e’ scalabile e non influisce sulle prestazioni del SIEM.
– Analytics Sandbox aiuta ad abbattere i falsi positivi fornendo un ambiente di QA in linea per testare e convalidare i casi d’uso.
– Le catene di minacce Persona-based rilevano le minacce avanzate in modo piu’ accurato, comprendendo la relazione dinamica tra utenti, host, indirizzi IP e indirizzi e-mail. Gli analisti traggono vantaggio da una piu’ ampia visibilita’ sulla progressione di un attacco. Questa funzione combina le attivita’ sospette di un singolo utente in un unico avviso con priorita’, invece di avvisi separati e non correlati.
– Relative Rarity offre agli analisti un contesto piu’ ampio su quanto sia raro un evento rispetto a tutti gli altri eventi nel loro ambiente.
– La visualizzazione degli avvisi di sicurezza utilizzando il MITRE ATT&CK Threat Framework aiuta gli analisti a dare priorita’ al rischio e a ridurre i tempi di risposta.

Riduzione dei tempi di risposta

– Il miglioramento della gestione dei casi consente una migliore gestione, condivisione e investigazione degli allarmi, consentendo agli operatori di rispondere piu’ rapidamente.
– Le nuove integrazioni EDR migliorano la risposta agli incidenti fornendo ulteriori dati sugli endpoint da CarbonBlack Defense, Tanium, Symantec DLP e altri.
– Le migliori visualizzazioni delle ricerche migliorano l’esperienza dell’analista riducendo i tempi di rilevamento e di risposta. Aiutano gli analisti a identificare facilmente gli account compromessi, l’esfiltrazione dei dati e gli hotspot associati.

Perche’ la long-term search e’ cosi’ importante

Con un tempo di permanenza globale di circa 60 giorni in media, la caccia alle minacce continua ad essere una parte importante nella resilienza della sicurezza informatica. Tuttavia, la ricerca attraverso lo storico dei dati richiede solitamente molto tempo.

Molti fornitori non sono in grado di scalare dinamicamente una ricerca veloce attraverso i dati archiviati senza notevole sforzo. Le ultime funzionalita’ del nostro SOCaaS forniscono questa possibilita’ ai cacciatori di minacce con la long-term search su scala quasi illimitata. Con la ricerca a lungo termine, le organizzazioni possono ridurre il tempo necessario per indagare e trovare le minacce che sono gia’ nel loro ambiente.

Gli analisti hanno bisogno di interrogare continuamente i dati per capire se ci sono nuove minacce. Ad esempio, un analista potrebbe apprendere, da una fonte attendibile, che il loro settore e’ stato preso di mira. A questo punto c’e’ bisogno di indagare su un nuovo indicatore di compromesso che e’ stato appena scoperto per verificare se un aggressore e’ gia’ all’interno.

Attraverso la long-term search, il SIEM nativo del SOCaaS di SOD consente ai cacciatori di minacce di essere proattivi, rendendo la ricerca sui dati storici veloce e conveniente.

Conclusioni

Tramite l’introduzione di nuove tecnologie nel nostro servizio SOC, stiamo offrendo sempre piu’ sicurezza per i nostri clienti.

Ci prendiamo cura dei vostri dati verificando non solo che non siano al sicuro ora, ma anche che non abbiano subito violazioni in passato. Nel caso dovessimo avere il sospetto di una nuova minaccia, sappiamo come individuarla.

Nel caso avessi domande, contattaci, saremo lieti di rispondere a ogni tuo dubbio.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading:

RSS Full Disclosure

  • CFP ZeroNights 2021 Aprile 10, 2021
    Posted by CFP ZeroNights on Apr 09ZeroNights 2021 CFP is OPEN: Offensive and defensive research (15/30/45min). Submit your talk! # About conference Place: Saint-Petersburg, Russia Date: 30 June Timeslots: 15/30/45 min Site: https://zeronights.org # CFP Timeline CFP start: 1 March CFP end: 15 May CFP page: https://01x.cfp.zeronights.ru/zn2021/ # Conditions: A speaker may deliver either a […]
  • Backdoor.Win32.Small.n / Unauthenticated Remote Command Execution (SYSTEM) Aprile 8, 2021
    Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/fb24c3509180f463c9deaf2ee6705062.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Small.n Vulnerability: Unauthenticated Remote Command Execution (SYSTEM) Description: The backdoor malware listens on TCP Port 1337, upon successful connection we get handed a remote shell from the infected host with SYSTEM...
  • [SYSS-2020-032] Open Redirect in Tableau Server (CVE-2021-1629) Aprile 8, 2021
    Posted by Vladimir Bostanov on Apr 08Advisory ID: SYSS-2020-032 Product: Tableau Server Manufacturer: Tableau Software, LLC, a Salesforce Company Affected Version(s): 2019.4-2019.4.17, 2020.1-2020.1.13, 2020.2-2020.2.10, 2020.3-2020.3.6, 2020.4-2020.4.2 Tested Version(s): 2020.2.1 (20202.20.0525.1210) 64-bit Windows Vulnerability Type: URL Redirection to Untrusted Site (CWE-601) Risk Level: Medium Solution Status: Fixed Manufacturer Notification: 2020-07-29 Solution Date:...
  • Backdoor.Win32.Hupigon.das / Unauthenticated Open Proxy Aprile 8, 2021
    Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/7afe56286039faf56d4184c476683340.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hupigon.das Vulnerability: Unauthenticated Open Proxy Description: The malware drops an hidden executable named "winserv.com" under Windows dir, which accepts TCP connections on port 8080. Afterwards, it connects to a...
  • Trojan.Win32.Hotkeychick.d / Insecure Permissions Aprile 8, 2021
    Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/aff493ed1f98ed05c360b462192d2853.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Hotkeychick.d Vulnerability: Insecure Permissions Description: creates an insecure dir named "Sniperscan" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can rename the...
  • Trojan-Downloader.Win32.Genome.qiw / Insecure Permissions Aprile 8, 2021
    Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/5cddc4647fb1c59f5dc7f414ada7fad4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Downloader.Win32.Genome.qiw Vulnerability: Insecure Permissions Description: Genome.qiw creates an insecure dir named "tmp" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
  • Trojan-Downloader.Win32.Genome.omht / Insecure Permissions Aprile 8, 2021
    Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/01055838361f534ab596b56a19c70fef.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Downloader.Win32.Genome.omht Vulnerability: Insecure Permissions Description: Genome.omht creates an insecure dir named "wjmd97" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
  • Trojan.Win32.Hosts2.yqf / Insecure Permissions Aprile 8, 2021
    Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/274a6e846c5a4a2b3281198556e5568b.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Hosts2.yqf Vulnerability: Insecure Permissions Description: Hosts2.yqf creates an insecure dir named "mlekaocYUmaae" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
  • usd20210005: Privileged File Write in Check Point Identity Agent < R81.018.0000 Aprile 8, 2021
    Posted by Responsible Disclosure via Fulldisclosure on Apr 08### Advisory: Privileged File Write Description =========== The Check Point Identity Agent allows low privileged users to write files to protected locations of the file system. Details ======= Advisory ID: usd-2021-0005 Product: Check Point Identity Agent Affected Version: < R81.018.0000 Vulnerability Type: Symlink Vulnerability Security Risk: High […]
  • CVE-2021-26709 - Multiple Pre-Auth Stack Buffer Overflow in D-Link DSL-320B-D1 ADSL Modem Aprile 8, 2021
    Posted by Gabriele Gristina on Apr 08Multiple Pre-Auth Stack Buffer Overflow in D-Link DSL-320B-D1 ADSL Modem ======== < Table of Contents > ========================================= 0. Overview 1. Details 2. Solution 3. Disclosure Timeline 4. Thanks & Acknowledgements 5. References 6. Credits 7. Legal Notices ======== < 0. Overview > =============================================== Release Date: 7 March 2021 Revision: […]

Customers

Newsletter