Kaspersky ha presentado una importante actualización de su solución de Security Information and Event Management (SIEM). La plataforma incluye un nuevo módulo de Inteligencia Artificial (IA) que agiliza y mejorara la priorización de alertas, permite la visualización de dependencias de recursos y amplía las capacidades de búsqueda.
De acuerdo con Verified Market Research, el mercado de SIEM fue valorado en 5.210 millones de dólares en 2024 y se espera que alcance los 10.090 millones de dólares en 2031. Entre los factores clave que impulsan este crecimiento figura el aumento de amenazas cibernéticas, regulaciones de cumplimiento normativo y demanda de detección rápida de amenazas. Las empresas buscan soluciones que les permitan recopilar y analizar datos en tiempo real, mejorando significativamente su conocimiento de la situación. Para responder a esta demanda, Kaspersky ha añadido nuevas funciones a su SIEM, que permiten a los profesionales de la ciberseguridad detectar las amenazas con mayor eficacia.
Kaspersky Security Information and Event Management (SIEM) es una plataforma para centros de operaciones de seguridad (SOC, por sus siglas en inglés) basada en una tecnología impulsada por IA y reforzada con inteligencia de amenazas líder a nivel mundial. La plataforma recopila datos de registro y los enriquece con información contextual e inteligencia de amenazas procesable, proporcionando todos los datos necesarios para la investigación y respuesta a incidentes, al mismo tiempo que habilita respuestas automatizadas a las alertas y actividades de búsqueda de amenazas.
Nuevo módulo de IA
Kaspersky SIEM incorpora un nuevo módulo de IA que mejora la clasificación de alertas e incidentes mediante el análisis de datos históricos. Además, la puntuación de riesgos basada en IA para los activos ofrece hipótesis valiosas para búsquedas proactivas.
Este módulo analiza cómo las características de una actividad específica están relacionadas con diferentes activos, como estaciones de trabajo, máquinas virtuales, teléfonos móviles, entre otros. Si una alerta detectada por el sistema como resultado de la correlación de eventos no es típica para el activo en el que se detecta, se marca en la interfaz con un estado adicional. Así, los analistas pueden identificar rápidamente los incidentes que requieren atención inmediata.
Recopilación de datos mediante el agente de seguridad de Kaspersky Endpoint
Anteriormente, para recopilar datos de estaciones de trabajo con Windows y Linux, era necesario instalar un agente de SIEM en cada estación o configurar la transmisión de datos a un host intermedio. Ahora, si el agente de seguridad de Kaspersky Endpoint está instalado en el host, puede enviar datos directamente al sistema SIEM. Estos datos pueden utilizarse para búsquedas de eventos, análisis y correlación. De esta manera, se elimina el paso adicional de instalar y monitorizar agentes de SIEM por separado para los clientes que ya utilizan productos de seguridad de Kaspersky para endpoints.
Gráfico de dependencias de recursos y capacidades de búsqueda ampliadas
La plataforma ha mejorado sus capacidades de búsqueda, permitiendo a los usuarios visualizar cómo los recursos (filtros, reglas, listas) están conectados entre sí. Un gráfico de dependencias de recursos con una estructura de carpetas jerárquica facilita la búsqueda de consultas específicas para equipos grandes o múltiples búsquedas almacenadas. Los analistas pueden localizar de forma rápida y precisa los eventos relevantes o crear informes de “rolling window”, definiendo los plazos de inicio y fin de una consulta de búsqueda o un informe. Además, el historial de consultas permite acceder fácilmente a búsquedas anteriores.
Versiones de contenido
Kaspersky SIEM almacena el historial de cambios en los recursos en forma de versiones. Se crea una nueva versión automáticamente cuando un analista crea un recurso nuevo o guarda cambios en un recurso existente. Este almacenamiento de versiones simplifica la interacción dentro de los equipos de analistas, permitiendo, por ejemplo, que un miembro del equipo vea los cambios realizados por un compañero en una regla de correlación y, si es necesario, deshacerlos.
Mapeo único de campos
Con la plataforma actualizada, los analistas pueden agregar una serie de valores de campo específicos desde la sección de campos únicos de la regla de correlación a un evento correlacionado, ahorrando tiempo al eliminar la necesidad de buscar valores en eventos subyacentes.
Kaspersky SIEM también permite añadir valores de campo específicos a una excepción si se identifica una alerta como una falsa alarma. Cada regla de correlación genera una lista de excepciones separada, lo que permite a los analistas centrarse en alertas críticas y reducir rápidamente el “ruido” de las reglas de correlación.
“SIEM es una de las principales herramientas para los equipos SOC y los departamentos de seguridad de TI, por lo que hacemos todo lo posible para que nuestra plataforma sea más fácil de usar. Estas nuevas características permiten a las empresas reaccionar ante eventos más rápido y con menos esfuerzo. Además, hemos mejorado Kaspersky SIEM enriqueciendo su compatibilidad con fuentes de eventos y reglas de correlación. Actualmente, nuestras reglas prediseñadas ya cubren más de 400 técnicas de la matriz MITRE ATT&CK, y el número de fuentes compatibles alcanza casi 300, y sigue creciendo constantemente”, concluye Ilya Markelov, director de la Línea de Productos de Plataforma Unificada de Kaspersky.
Para obtener más información sobre Kaspersky SIEM, visita su página web.