Optimización SIEM para una plataforma XDR

Su SIEM es tan bueno como los datos que recibe

A medida que aumenta la superficie de ataque, también lo hace la cantidad de datos que necesita indexar, enriquecer y analizar. Puede su SIEM abarcarlo todo?

¿Puede proteger todos los hosts y cuentas?
¿Le alertará sobre los ataques de tipo living off the land y otros ataques que se ocultan a plena luz?
¿Está sacando el máximo partido a su SIEM?

El desafío

El SIEM por sí solo no puede proteger a su organización

Lagunas de detección críticas. Datos de seguridad aislados. Cobertura de registros que nunca es lo suficientemente completa y costes que siguen aumentando. No es de extrañar que el 44% de las organizaciones estén buscando aumentar sus soluciones SIEM. Necesita una forma fiable de detectar los indicios de ataques híbridos modernos en curso.

Blog

Amplíe su SIEM con Vectra AI

¿Cuánto más podría conseguir su equipo SOC con una plataforma RDX moderna? Para un gran minorista, la integración con Vectra AI dio como resultado:

6 millones de dólares menos en costes de ingesta de registros
37 casos menos de uso de SIEM
92.500 dólares de ahorro anual en mantenimiento

Seguir leyendo

La solución

Combinar la inteligencia artificial con su SIEM

Al integrarse con su SIEM, la plataforma Vectra AI le permite ver y detener ataques reales en tiempo real.

Racionalice sus operaciones de seguridad

Encuentre más amenazas con menos trabajo y menos costes.

Menos riesgo

Las detecciones basadas en IA se centran en entidades, identidades y hosts -no sólo en anomalías- para sacar a la luz las amenazas de inmediato. El resultado es un 90 % menos de amenazas no detectadas.

Menor carga de trabajo

El triaje y la priorización basados en IA utilizan el aprendizaje automático para comprender su entorno y eliminar el ruido de las alertas en un 85% o más.

Costes más bajos

Vectra AI ahorran un 30% o más consolidando herramientas, descargando casos de uso y reduciendo el volumen de registros.

Cómo funciona

¿Por qué integrar la plataforma Vectra AI con su SIEM?

Vectra AI proporciona la señal integrada que necesita para encontrar ataques, sin importar el cristal.

Detectar los primeros signos de actividad atacante

Ni siquiera las tecnologías SIEM más avanzadas se crearon para gestionar las decenas de miles de ataques diarios a los que se enfrenta ahora. Vectra AILa señal integrada de la empresa analiza automáticamente los comportamientos de los atacantes después de la vulneración, para que pueda detener los ataques en tiempo real.

"El hecho de que la plataforma Vectra AI tuviera una capacidad cloud y una solución local era fundamental para nosotros. Ahora nos resulta muy fácil escalar, ni siquiera vamos a poner el SIEM en nuestros entornos."

VP de SecOps

Empresa de tecnología deportiva

Ingiera sólo los datos que necesite

Vectra AI envía datos enriquecidos a su SIEM, sin necesidad de pagar una prima para almacenarlos. Con la plataforma Vectra AI para hacer el trabajo pesado, nuestros clientes ahorran hasta un 50% en costes anuales de mantenimiento y retención de registros.

"Ahora, nos centramos en las investigaciones y la caza proactiva de amenazas en lugar de perseguir registros".

John Shaffer

CIO, Greenhill

Amplíe la capacidad de su SOC

Descargue el 50% (o más) de sus casos de uso SIEM a la plataforma Vectra AI . Con integraciones certificadas para flujos de trabajo SIEM, nuestra IA de seguridad aligera 38 veces la carga de trabajo de los analistas.

"La plataforma Vectra AI no requiere mucho trabajo para ser un arma eficaz contra los ciberataques".

Daniel Luttermann

Jefe de equipo de seguridad, Rossman

Cumplir o superar los requisitos de conformidad

Modernice su centro de operaciones de seguridad sin comprometer el cumplimiento normativo. La plataforma Vectra AI es compatible con todas las áreas de cumplimiento, desde GDPR hasta NIS2. Incluso nuestra certificación AI SOC 2 Type 2 Compliance es un hito para el sector.

"Vectra AI recopila y almacena todos estos metadatos históricos, en lugar de las cargas útiles de los paquetes, para proteger la privacidad de los datos y respaldar la GDPR. No hay que comprar, instalar ni gestionar ninguna infraestructura de big data".

Rizwan Majeed

Responsable de seguridad de las TIC, Pennine Care NHS Foundation Trust

Detectar los primeros signos de actividad atacante

Ni siquiera las tecnologías SIEM más avanzadas se crearon para gestionar las decenas de miles de ataques diarios a los que se enfrenta ahora. Vectra AILa señal integrada de la empresa analiza automáticamente los comportamientos de los atacantes después de la vulneración, para que pueda detener los ataques en tiempo real.

"El hecho de que la plataforma Vectra AI tuviera una capacidad cloud y una solución local era fundamental para nosotros. Ahora nos resulta muy fácil escalar, ni siquiera vamos a poner el SIEM en nuestros entornos."

VP de SecOps

Empresa de tecnología deportiva

Ingiera sólo los datos que necesite

Vectra AI envía datos enriquecidos a su SIEM, sin necesidad de pagar una prima para almacenarlos. Con la plataforma Vectra AI para hacer el trabajo pesado, nuestros clientes ahorran hasta un 50% en costes anuales de mantenimiento y retención de registros.

"Ahora, nos centramos en las investigaciones y la caza proactiva de amenazas en lugar de perseguir registros".

John Shaffer

CIO, Greenhill

Amplíe la capacidad de su SOC

Descargue el 50% (o más) de sus casos de uso SIEM a la plataforma Vectra AI . Con integraciones certificadas para flujos de trabajo SIEM, nuestra IA de seguridad aligera 38 veces la carga de trabajo de los analistas.

"La plataforma Vectra AI no requiere mucho trabajo para ser un arma eficaz contra los ciberataques".

Daniel Luttermann

Jefe de equipo de seguridad, Rossman

Cumplir o superar los requisitos de conformidad

Modernice su centro de operaciones de seguridad sin comprometer el cumplimiento normativo. La plataforma Vectra AI es compatible con todas las áreas de cumplimiento, desde GDPR hasta NIS2. Incluso nuestra certificación AI SOC 2 Type 2 Compliance es un hito para el sector.

"Vectra AI recopila y almacena todos estos metadatos históricos, en lugar de las cargas útiles de los paquetes, para proteger la privacidad de los datos y respaldar la GDPR. No hay que comprar, instalar ni gestionar ninguna infraestructura de big data".

Rizwan Majeed

Responsable de seguridad de las TIC, Pennine Care NHS Foundation Trust

Optimización SIEM, a la manera de Vectra AI

Cobertura

Agilice la caza de amenazas, las investigaciones y la respuesta con telemetría de ataques consolidada en todas las redes públicas cloud, de identidad, SaaS y de centros de datos.

Claridad

Vea los primeros indicios de actividad de ataque con inteligencia de amenazas basada en IA y una señal integrada para encontrar ataques rápidamente, sin importar su cristal.

Controlar

Mantenga la conformidad y el control con una plataforma SOC moderna y fácil de usar desde el primer momento, sin necesidad de esfuerzos adicionales de priorización o triaje.

Preguntas frecuentes

¿Por qué tantos equipos están perdiendo fuelle en la lucha contra los modernos ataques híbridos?

Muchas operaciones SIEM tradicionales están siendo puestas a prueba por la afluencia de datos de seguridad, y los equipos SOC están sufriendo las consecuencias. Estas escalofriantes estadísticas del informe State of Threat Detection deVectra AI lo dicen todo:

El 70% de los analistas de operaciones de seguridad admiten que es probable que su organización se haya visto comprometida y que aún no lo saben.

Al 97% le preocupa perderse un suceso de seguridad importante porque queda sepultado bajo una avalancha de alertas.

El 67% está agotado y se plantea dejar su trabajo, o ya está buscando activamente una salida.

Por esta razón, muchos equipos de SOC están buscando formas rentables de obtener más valor de sus inversiones SIEM existentes.

¿Cómo puede obtener aún más valor de su SIEM?

Los comentarios más comunes que recibimos de nuestros clientes están relacionados con el coste, la complejidad y el tiempo de obtención de valor. (Antes de Vectra AI, un cliente se enfrentaba a un precio de 590.000 dólares sólo para desarrollar casos de uso de SIEM). Se tarda mucho tiempo en perfeccionar las guías, por no hablar de ponerlas en práctica. Con tantos ciberataques que ahora utilizan IA, no puede permitirse no automatizar su flujo de trabajo de investigación.

Sin embargo, ha invertido mucho en su SIEM y no debería tener que empezar de cero. Con Vectra AI, no tendrá que hacerlo.

¿Cómo mejorará su SIEM la integración con Vectra AI ?

Nuestras sencillas integraciones le permiten llevar la inteligencia sobre amenazas basada en IA a cualquier panel de control. Ya sea a través de syslog estándar o mediante API, puede exportar la puntuación de entidades, los metadatos de red o la salida de registro de Vectra AI directamente a su SIEM.

Nuestras detecciones basadas en IA cubren más del 90% de las técnicas de MITRE ATT&CK , lo que permite detectar las ciberamenazas de inmediato sin necesidad de ajustes ni configuraciones personalizadas. Esto le permite ahorrar tiempo y dinero y centrarse en un conjunto más reducido de guías para proteger aún más su organización.

¿Qué casos de uso de SIEM puede descargar?

Al asignar los casos de uso comunes de SIEM a las familias de detección deVectra AI , nuestros clientes ahorran tiempo y dinero al tiempo que aceleran la detección y la respuesta.

Sustituya estos casos de uso de SIEM:	Con la correspondiente detección Vectra AI :
- Ataque de fuerza bruta contra Azure Portal - Cliente conectado con éxito desde IP y fallo desde una PII diferente - Microsoft Entra ID (anteriormente Azure AD) - Múltiples fallos de autenticación seguidos de un éxito	Fuerza bruta
- Intento distribuido de descifrado de contraseñas en Azure AD - Entra ID - Fallos al iniciar sesión en una cuenta desde varias fuentes - Entra ID - Fallos al iniciar sesión en una cuenta desde una única fuente - Entra ID - Ataque de rociado de contraseñas contra Azure AD	Intento de fuerza bruta
Cambio a la configuración de IP de confianza	Intentos de eludir la regla de acceso condicional en Entra ID
Minería de criptomonedas	- Minería de criptomonedas mediante el secuestro de recursos - Eventos DNS relacionados con los pools de minería
Intento de cuenta desactivada	Intentos de iniciar sesión en cuentas desactivadas
Palo Alto - posible balizamiento detectado	Túnel oculto HTTP/HTTPS
MFA desactivado para un usuario	MFA desactivado
Entra ID - Nuevo usuario creado y añadido al grupo de administradores integrado	Nueva cuenta de administrador/creación de cuenta de administrador
Entra ID - Se asignó un rol de alto privilegio	Nueva cuenta de administrador/creación de cuenta de administrador/creación de acceso redundante
Registro de eventos de seguridad borrado	M365 desactivación de herramientas de seguridad/M365 intento de desactivación de registro
Red DDoS detectada	DoS saliente
- Cortafuegos - Detectado un posible escaneo de puerto local - Palo Alto - Posible escaneo de puertos externos internos	Exploración de puertos
Azure - Se han concedido al usuario derechos de acceso de administrador de suscripciones	Creación de accesos redundantes
- Transferencia de datos a VPC no fiables - Anomalía en la serie temporal del tamaño de los datos transferidos a la Internet pública	Aplastar y agarrar
DNS - Número de NXDomain raramente elevado	Dominio sospechoso
- Autorización de aplicaciones raras - Azure - Concesión de consentimiento a una aplicación de terceros con permisos sospechosos - Azure - Consentimiento de aplicación sospechoso para el acceso sin conexión	Permisos de aplicación sospechosos
- Entra ID - Usuario añadido a un grupo privilegiado - Entra ID - Cuenta añadida y eliminada de grupos privilegiados - Entra ID - Cuenta de usuario añadida al grupo local o global del dominio incorporado	Operación sospechosa de Entra ID
Concesión sospechosa de permisos a una cuenta	Operación sospechosa de Entra ID/creación de cuenta de administrador/cuenta de administrador recién creada
Invocación powershell sospechosa	Ejecución remota sospechosa
Actividad sospechosa de descargas masivas	Actividad de intercambio sospechosa
Ubicación anómala del inicio de sesión por cuenta de usuario y aplicación de autenticación	Inicio de sesión sospechoso
Agente de usuario malformado	HTTP sospechoso
DNS - proxies tor	Actividad de Tor

¿Debería considerar alternativas SIEM en su lugar?

Si no está satisfecho con los casos de uso actuales de detección, investigación y respuesta ante amenazas (TDIR) dentro de su SIEM, la plataforma Vectra AI es independiente de agentes y dispositivos y puede ponerse en marcha en cuestión de días.

¿Es Vectra AI un sustituto de SIEM?

La elección es suya. Puede integrar Vectra AI con su SIEM actual para optimizar los flujos de trabajo de investigación o cambiar a nuestra plataforma SOC basada en IA para una detección y respuesta ampliadas (XDR).

¿Qué tipo de resultados puede esperar con las optimizaciones SIEM de Vectra AI?

Vectra AI acelera las detecciones y compara los resultados con factores conocidos para que pueda responder a los sucesos con mayor rapidez. Nuestros clientes experimentan:

Cobertura de más del 90% de las técnicas de MITRE ATT&CK

Hasta un 50% menos de costes anuales de mantenimiento y conservación de registros

Fidelidad de alerta superior al 85

Respuesta a incidentes un 99% más rápida

(Se tarda una media de 328 días* en identificar y contener las violaciones de datos derivadas de credenciales comprometidas. Vectra AI le ayuda a detectarlas y responder a ellas el mismo día en que se producen).

‍

*Fuente: Informe sobre filtraciones de datos de IBM

Optimice su SIEM, transforme sus procesos SOC.