McAfee impulsa su tecnología de SIEM con una nueva solución
6 de Noviembre de 2013Se trata de la integración de McAfee Enterprise Security Manager con McAfee Real Time, para mejorar la visibilidad y agilizar la respuesta frente a incidentes
McAfee anunció el lanzamiento de una solución de administración de eventos e información de seguridad (SIEM) “consciente de los endpoints”, con el objetivo de sumar información de estado del sistema en tiempo real y agilizar la respuesta frente a los incidentes.
Se trata de la combinación de las funciones de administración de grandes cantidades de datos de seguridad de McAfee Enterprise Security Manager (ESM) con la comprensión de los endpoints de McAfee Real Time. De esta manera, los datos de eventos de la SIEM se combinan con la capacidad proactiva de consultar, recopilar y analizar en forma inmediata un contexto extenso de los extremos, lo que incluye los procesos en ejecución, los archivos y toda la configuración de seguridad y del sistema.
Sergio Pilla, Sales Engineer en McAffe, explicó a CanalLA las caractrísticas de este nuevo producto.
- ¿A qué tipo de empresas está orientada esta nueva solución?
- A compañías medianas y grandes, entes gubernamentales, proveedoras de servicios, compañías de salud, instituciones de educación y operadores de infraestructura crítica. Todos ellos necesitan tener visibilidad, control e inteligencia y a la vez requieren poder reaccionar a tiempo ante un incidente de seguridad.
- ¿Cómo funciona y cómo detecta los incidentes?
- La tecnología de SIEM funciona colectando todo dato relevante originado de los sistemas operativos, aplicaciones y dispositivos de red y la indexa y categoriza en tiempo real. La particularidad del SIEM de McAfee es que tiene la capacidad de correlacionar esa información con datos de contexto y contenido, lo que permite finalmente a los recursos de IT a tomar mejores y más rápidas decisiones. Esto se logra integrando tecnologías como escáners de vulnerabilidades, sistemas de gestión de usuarios y otros sistemas soportados. También tiene la capacidad de colectar información de documentos, transacciones de bases de datos y flujos de comunicaciones para detectar un gran rango de riesgos y amenazas y proveyendo información forense valiosa.
- ¿Cómo confluyen las funciones de administración de grandes cantidades de datos con los endpoints?
- Las decisiones son basadas fundamentalmente en la información propia de cada activo y el SIEM, a través de su módulo de riesgo (Risk Advisor), que permite entender rápidamente cuáles son los endpoints más expuestos y centrar las acciones de remediación. El diferencial de tener una solución unificada y centralizada a través de la consola ePO, permite a los clientes beneficiarse con workflows para tomar acciones correctivas tales como cambios de configuraciones de seguridad, implementación de nuevas políticas o actualización de software.
- ¿Cómo es que resuelve los ataques en tiempo real?
- Ya sea tráfico de red, actividad de usuario o uso de aplicación, cualquier variación de la actividad normal podría indicar que una ataque es inminente y que la red está en riesgo. El SIEM de Mcafee calcula la línea de base de actividad para toda la información colectada, en tiempo real, y alerta sobre amenazas potenciales antes de que ocurran, mientras, al mismo tiempo, analiza los datos para detectar patrones que podrían indicar una amenaza mayor. Dos mecanismos importantes son las reglas de correlación pre-creadas específicamente para detectar ataques o brechas, y la red basada en reputación Global Threat Intelligence que identifica tráfico IP sospechoso basado en un análisis contínuo a gran escala de todo el tráfico mundial.
Más información: www.mcafee.com.