Recorriendo los Caminos de EnCase: Visión General de la Integración con EnCase: EnCase & Splunk

Una de las características más poderosas de EnCase Cybersecurity es la habilidad de integrar a EnCase con otras herramientas de seguridad. Las capacidades de respuesta basadas en el contexto de EnCase Cybersecurity, al emparejarse con la tecnología de detección y correlación de eventos de seguridad de su elección, entrega un factor multiplicador a su habilidad de acercarse tanto como sea posible a un evento relacionado a la seguridad de la información. Mediante una arquitectura basada en un bus de servicio, EnCase Cybersecurity puede ser configurado para entregar automáticamente una visión completa y sin obstrucciones de los dispositivos en el momento en que se recibe una alerta para facilitar una variedad de necesidades de la seguridad de la información.

Para entregar un flujo de trabajo de seguridad completo desde la detección hasta la respuesta, EnCase Cybersecurity se integra con los proveedores líderes de tecnologías de detección de amenazas y de sistemas de administración de la información y de eventos de seguridad (SIEM), como HP ArcsSight, IBM Q1 Labs, FireEye, Sourcefire y otros. Cuando se hace uso de estas integraciones, EnCase Cybersecurity entrega tanto a pequeños equipos de seguridad TI como a grandes centros de operaciones de seguridad la validación y los detalles que necesitan de los hosts afectados prácticamente en tiempo real para entender completamente la naturaleza y el alcance de cualquier incidente, así como también permitir una rápida remediación.

Estas integraciones pueden entregar:

    •    Una amplia gama de respuestas automatizadas a alertas generadas por otras herramientas de seguridad TI que tengan una arquitectura de respuesta
        o    La habilidad de capturar el estado volátil de la máquina (procesos, memoria y registro) en el momento en que se generó la alerta o un análisis del perfil del sistema para comparación a un estado confiable previo ya conocido.
        o    La habilidad de buscar por valor de hash, o incluso la habilidad de búsqueda de archivos similares sin basarse en el valor de hash
        o    La habilidad de remediar automáticamente a archivos o procesos maliciosos incluso si están en uso
    •    La habilidad de escalar los recursos de un pequeño equipo de respuesta a incidentes mediante la validación de alertas para encontrar falsos positivos

El artículo de hoy se enfocará en los casos de uso para la integración de EnCase con Splunk. ¿Qué es Splunk? Splunk es una herramienta de seguridad TI que captura, indexa y correlaciona datos en tiempo real dentro de un repositorio con capacidades de búsqueda, a partir del cual puede generar gráficos, reportes, alertas, consolas y visualizaciones.

EnCase puede integrarse a Splunk de dos formas. La primera forma provee una serie de respuestas a alertas generadas por Splunk. La segunda forma usa Splunk para monitorear y auditar los datos de EnCase.

Integrando EnCase con las alertas y las acciones de flujo de trabajo de Splunk

Una alerta es una acción desencadenada por una búsqueda guardada basándose en los resultados especificados de la búsqueda. Las alertas de Splunk comúnmente son usadas para generar emails que avisan a los administradores sobre algún evento. Dicho esto, las alertas de Splunk también pueden ser configuradas de forma que condiciones específicas provenientes de otros sistemas puedan accionar trabajos en EnCase. Una vista técnica a alto nivel de la integración se ve así:

Los casos de uso para las alertas de Splunk pueden incluir lo siguiente:

    •    Una alerta generada para cada intento fallido de inicio de sesión
    •    Una alerta programada si se alcanza o excede un valor límite.
    •    Una alerta cuando un CPU es utilizado al 100% durante un periodo de tiempo especificado

Cada uno de estos ejemplos de casos de uso de alertas podría iniciar un tipo específico de trabajo en EnCase al satisfacerse alguna condición. EnCase podría ofrecer una imagen instantánea de procesos, memoria y registro en un escenario en el que algún CPU se quede estancado al 100% de utilización o proveer una visión diferencial para ver si una cuenta de usuario ha iniciado su sesión previamente en la misma máquina después de un intento fallido de inicio de sesión.

Ejemplos adicionales de posibles casos de uso durante la integración pueden incluir cualquiera de los siguientes:

    •    Comparar el estado actual de una máquina contra la representación de una configuración aprobada
    •    Remediación automática de archivos o procesos maliciosos
    •    Captura de artefactos de internet en máquinas seleccionadas
    •    Búsqueda de información personal o de datos de tarjetas de crédito
    •    Identificar cualquier proceso o archivo que no haga parte de una configuración de máquina autorizada

Tanto las consolas preconfiguradas y las consolas personalizadas de Splunk pueden recibir “Acciones de Flujo de Trabajo” (Workflow Actions) para crear respuestas a eventos destacados que sean accionables mediante un solo clic. Estas acciones pueden ser ejecutadas tanto internamente en Splunk como externamente en EnCase. Casos de uso para acciones de flujo de trabajo incluyen:

    •    Desencadenar una tarea de imagen instantánea (snapshot) en EnCase
    •    Ejecutar una búsqueda WHOIS basándose en la dirección de IP de un evento
    •    Producir una búsqueda (mediante Google, Bing, Yahoo, etc.) de algún valor específico de un campo de un evento
    •    Lanzar búsquedas secundarias utilizando campos obtenidos de un evento

Utilizando Splunk para monitorear a EnCase y a los eventos de EnCase

EnCase es un producto de nivel corporativo con muchas características diseñadas específicamente para infraestructuras corporativas. Por ejemplo, Splunk puede ser usado para monitorear Logs de Eventos generados por cualquiera de los productos EnCase.

La Funcionalidad de “Scripted Input” (introducción de entradas mediante script) también puede ser configurada para monitorear el estado proprio de EnCase. Esto puede usarse para monitorear datos en EnCase, tales como:

    •    API de Servicios Web de ECC Cybersecurity de EnCase
    •    Bases de Datos ECC de EnCase

Las Bases de Datos y la API de Servicios Web de ECC pueden ser monitoreadas en Splunk mediante un script personalizado que especifica qué datos deben ser monitoreados.

De forma similar a EnCase Analytics, Las consolas visuales de Splunk son extremadamente personalizables y pueden ser usadas como un lugar centralizado para el monitoreo de las actividades y de los logs de EnCase, además de muchos otros tipos de datos. Las consolas visuales vienen preconfiguradas pero pueden ser personalizadas para satisfacer las necesidades comerciales particulares a cualquier cliente. Casos de uso para consolas visuales incluyen:

    •    Monitoreo de los Logs de Eventos de EnCase
    •    Estado del Sistema
    •    Seguimiento de la Investigación
    •    Análisis de Objetivos y de Valores de Hash

Espero que este artículo del blog le haya provisto una visión general a alto nivel de algunos de los casos de uso para el manejo de riesgos de TI y para la administración de TI que pueden ser cubiertos mediante la integración de EnCase con Splunk. Lo invitamos a despejar sus dudas técnicas u otras dudas específicas escribiéndonos a la dirección sales-latam@encase.com

TEMAS RELACIONADOS

6 Razones por las que Debe Participar del Evento en Español del CEIC en Las Vegas, Entre el 18 y el 21 de mayo

Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español

Guidance Software reconocida por Gartner como líder del mercado de herramientas de detección y respuesta en dispositivos

Dé un "Me Gusta" a Nuestra Página en Facebook

Motor Criptográfico de EnCase: Certificado FIPS 140-2 por el NIST y el CSE

Recorriendo los Caminos de EnCase

Visión General de la Integración con EnCase: EnCase & Splunk

No hay comentarios :

Publicar un comentario

Buscar este blog

We're Here to Help

Connect With Us

Tags

Popular

Archive