Las 7 mejores herramientas de búsqueda de amenazas para 2022

El término ' caza de amenazas ”significa buscar en un sistema de TI actividades maliciosas. Estas actividades podrían estar ocurriendo en este momento o podrían haber ocurrido ya.

Los sistemas de búsqueda de amenazas rara vez se venden como paquetes independientes. En cambio, esta es una técnica que se utiliza como parte de un servicio de ciberseguridad .

Aquí está nuestra lista de las siete mejores herramientas de búsqueda de amenazas:

1. Administrador de eventos de seguridad de SolarWinds ELECCIÓN DEL EDITOR Una de las herramientas SIEM más competitivas del mercado con una amplia gama de funciones de gestión de registros. Obtenga una prueba gratuita de 30 días.
2. Punto final de negro de carbón de VMWare Un EDR que está basado en la nube pero que incluye recolectores de datos instalados en dispositivos monitoreados.
3. CrowdStrike Halcón Overwatch Un centro de operaciones de seguridad completo proporcionado mediante suscripción que incluye un sistema SaaS EDR, llamado Falcon Insight, además de técnicos para ejecutar el software y el análisis de seguridad para la búsqueda manual de amenazas.
4. XDR administrado por Trend Micro Un servicio de suscripción que ofrece búsqueda de amenazas humanas y basada en software que implementará respuestas automáticamente para detener los ataques.
5. Cine 360 Un innovador sistema de ciberdefensa basado en la nube que desvía a los intrusos de activos valiosos a través de un módulo de engaño que también expone la actividad maliciosa a escrutinio y análisis.
6. Fusión Exabeam Ofrecidas en formatos SIEM y XDR, ambas opciones utilizan las mismas rutinas de búsqueda de amenazas. Esta es una plataforma en la nube.
7. Rapid7 InsightIDR Un servicio SIEM y XDR que se puede agregar a otros servicios desde la misma plataforma en la nube, como una fuente de inteligencia sobre amenazas.

El cazador de amenazas es la herramienta de búsqueda que rastrea los datos de actividad en busca de signos de comportamiento no deseado.

Los tipos de sistemas que tienen integrada la caza de amenazas son:

• Antivirus (DESACTIVADO)
• Detección y respuesta de endpoints (EDR)
• Detección y respuesta extendidas (XDR)
• Información de seguridad y gestión de eventos (SIEM)
• Sistemas de detección de intrusos (IDS)
• Sistemas de prevención de intrusiones (IPS)
• Inteligencia sobre amenazas cibernéticas (CTI)

Notarás que los firewalls no están incluidos en la lista. Aunque los firewalls analizan el tráfico, sus actividades generalmente no se clasifican como búsqueda de amenazas. Un firewall filtra el tráfico.

Estrategias de caza de amenazas

Los sistemas de búsqueda de amenazas buscan en los datos del sistema indicadores de ataque o comportamiento inusual. La fuente de esos datos suele ser datos de rendimiento capturados y mensajes de registro. La búsqueda de amenazas se puede realizar en un dispositivo, pero es más efectiva si todos los datos de actividad de todos los dispositivos en una red están fiestas en una ubicación central. Esto permite al cazador de amenazas buscar actividades maliciosas que viajan entre dispositivos para que el sistema de ciberseguridad pueda detectar y bloquear un ataque en expansión.

Las amenazas podrían implementarse en forma de software o actividad manual por un individuo. En casi todos los casos, la actividad maliciosa se llevará a cabo dentro de una cuenta de usuario autorizada.

Si un extraño está usando una cuenta válida, será debido a un apropiación de cuenta . Esto puede ocurrir debido a una seguridad débil en forma de contraseñas descifrables. Los piratas informáticos también pueden obtener credenciales de cuentas engañando a los usuarios para que las revelen.

Si el actor malicioso es un miembro del personal, es posible que el usuario en cuestión haya sido engañado o amenazado para que actúe en nombre de un extraño. A empleado descontento Es posible que desee dañar el negocio robando o divulgando datos confidenciales o vendiéndolos para obtener ganancias financieras.

Aunque el software suele estar involucrado en un evento malicioso, no siempre se trata de malware o sistemas no autorizados instalados por un pirata informático. El aplicaciones autorizadas que ha instalado para que los utilicen los trabajadores de la empresa pueden procesar y mover datos y también pueden servir a personas internas maliciosas e intrusos.

Caza de amenazas automatizada y manual

Los procesos de búsqueda de amenazas están integrados en el software de ciberseguridad. Sin embargo, la caza de amenazas puede ser una actividad humana también. Un visor de datos con funciones de búsqueda y clasificación permite a un especialista en ciberseguridad analizar datos y realizar consultas sobre posibles usos indebidos de los mismos.

Aunque un administrador del sistema puede notar algo extraño en la actividad de la cuenta de un usuario y querer investigar más a fondo, la búsqueda de amenazas suele ser una actividad realizada por profesionales dedicados. No muchas empresas son lo suficientemente grandes como para poder permitirse el lujo de mantener un personal calificado. especialista en ciberseguridad en el personal, por lo que es más probable que estos expertos trabajen para consultorías y se involucren en los datos de una empresa cliente cuando se los llama para resolverlos. una emergencia .

Las empresas pueden crear un contrato continuo para servicios de consultoría registrándose en un paquete de seguridad gestionado , que incluye tanto el software de protección como los servicios de expertos en ciberseguridad para analizar datos en caso de anomalías que el software no pueda categorizar.

Las mejores herramientas de caza de amenazas

El campo de la búsqueda de amenazas ofrece una variedad de configuraciones que abarcan paquetes de software locales, plataformas SaaS y servicios administrados. Al buscar buenos ejemplos de sistemas de caza de amenazas Para recomendar, debemos ser conscientes de que los diferentes tamaños y tipos de empresas tendrán diferentes necesidades. Por lo tanto, es imposible recomendar un único paquete que pueda identificarse fácilmente como la mejor opción disponible.

¿Qué debería buscar en una herramienta de búsqueda de amenazas?

Examinamos el mercado de sistemas de ciberseguridad que incorporan procesos de búsqueda de amenazas y analizamos las opciones disponibles en función de los siguientes criterios:

• Un servicio de recopilación de datos para introducir información de eventos en el cazador de amenazas.
• Agregación de datos para estandarizar el formato de los registros de eventos.
• Opciones para análisis manual
• Configuración de respuesta automatizada
• Gobierno de detección de amenazas mediante una política de seguridad.
• Una prueba gratuita o un sistema de demostración para evaluar el sistema antes de pagar
• Relación calidad-precio, proporcionada por una protección de seguridad integral a un precio adecuado

Con estos criterios en mente, identificamos herramientas confiables de ciberseguridad que incluyen excelentes procedimientos de búsqueda de amenazas. Nos aseguramos de incluir opciones de servicios administrados, SaaS y locales.

1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)

Administrador de eventos de seguridad de SolarWinds es la mejor opción para aquellos administradores de sistemas que desean mantener todo internamente. El paquete se ejecuta en su servidor y explora todos los demás puntos finales de la red. Este sistema funciona con datos de rendimiento de la red en vivo, extraídos de fuentes como el Protocolo Simple de Manejo de Red (SNMP), así como mensajes de registro.

Características clave:

• Recopiladores de archivos de registro
• En las instalaciones
• Gestor de datos sensibles
• Auditoría de cumplimiento
• Búsqueda de amenazas basada en firmas

El paquete incluye conectores esa interfaz con aplicaciones y extrae datos de eventos. El sistema también incluye un monitor de integridad de archivos que registra el acceso a los archivos y los cambios realizados en su contenido. Esto es un administrador de datos sensibles que supervisa los archivos y carpetas nominados.

Las lecturas de rendimiento y los mensajes de registro se convierten a un formato común, que se denomina ' consolidación ”. La herramienta presenta estos registros al módulo de búsqueda de amenazas para su análisis.

Las actividades maliciosas que el cazador de amenazas detecta se puede detener inmediatamente. Este cazador de amenazas es un servicio basado en firmas que busca indicadores de ataque. El sistema incluye una lista de respuestas, que se denominan reglas de correlación . Estos especifican una acción a tomar si se detecta una amenaza. Esas acciones pueden ser bloquear el tráfico desde y hacia una dirección IP específica, suspender una cuenta de usuario, cerrar un proceso y eliminar un archivo.

Ventajas:

• Actúa como SIEM
• Gestiona archivos de registro
• Implementa respuestas automatizadas.
• Alertas de actividad sospechosa
• Utiliza datos de red en vivo y registros

Contras:

• Sin versión en la nube

SolarWinds Security Event Manager se instala en Servidor de windows y esta disponible parauna prueba gratuita de 30 días.

SELECCIÓN DEL EDITOR

Administrador de eventos de seguridad de SolarWindses nuestra mejor opción para un paquete de búsqueda de amenazas porque le permite mantener el control total de sus servicios de TI. Muchos administradores de sistemas de TI todavía no se sienten cómodos con la prevalencia de los sistemas basados ​​en la nube porque esa estrategia reduce el control, proporciona vías adicionales para que entren intrusos y requiere que algunos detalles sobre el negocio se guarden en un servidor externo.

Descargar:Obtenga una prueba gratuita de 30 días

Sitio oficial:https://www.solarwinds.com/security-event-manager/registration

TÚ:Servidor de windows

2. Punto final VMWare Carbon Black

Punto final de negro de carbón de VMware protege múltiples puntos finales. Cada punto final inscrito tiene un agente instalado y esa unidad se comunica con el procesador de datos Carbon Black basado en la nube.

Características clave:

• Fuente de inteligencia sobre amenazas
• Detección de anomalías
• REMONTARSE
• Búsqueda rápida de amenazas

Un agente de red también se comunica con herramientas de seguridad de terceros como parte de una técnica llamada Orquestación, automatización y respuesta de seguridad. (REMONTARSE). El sistema SOAR recopila información de herramientas de seguridad de terceros, como firewalls, y la agrega al conjunto de información que se recopila en la nube.

El caza de amenazas El módulo en el paquete Carbon Black se llama Seguridad predictiva en la nube , que destaca por su capacidad para buscar en grandes colecciones de datos muy rápidamente. La detección de una amenaza se activa instrucciones de respuesta que se envían a los agentes del dispositivo y también a las herramientas de terceros que están inscritas en el sistema SOAR.

Ventajas:

• Intercambio mutuo de amenazas entre clientes.
• Consejos para reforzar el sistema
• Respuestas automatizadas
• Proteger múltiples sitios

Contras:

• No incluye un administrador de registros

El Paquete SaaS implementa la búsqueda de amenazas por cliente y luego agrupa todos los datos descubiertos para una búsqueda central de todos los clientes. Esta caza de amenazas central proporciona inteligencia de amenazas sobre campañas de piratas informáticos y advierte a los clientes antes del ataque. puedes solicitar una demostración del sistema VMWare Carbon Black Endpoint.

3. Supervisión del halcón CrowdStrike

Halcón CrowdStrike es una plataforma en la nube de herramientas de seguridad que incluye un EDR, llamado Conocimiento , y un XDR . El EDR se coordina con los sistemas CrowdStrike en el dispositivo y el XDR agrega SOAR.

Características clave:

• Basado en anomalías
• Caza de amenazas locales
• Búsqueda de amenazas consolidada basada en la nube

El único producto de CrowdStrike que se ejecuta en terminales es un paquete antivirus de próxima generación, llamado Halcón prevenir . Esto realiza su propia caza de amenazas e implementa respuestas de defensa. Si el comprador de Falcon Prevent también se ha suscrito a uno de los sistemas basados ​​en la nube, el AV actúa como un agente lo.

Tanto Falcon Insight como Falcon XDR funcionan caza de amenazas en la nube en el conjunto de datos cargados desde todos los puntos finales inscritos en el plan. Este proceso de búsqueda de amenazas se puede mejorar con una fuente de inteligencia sobre amenazas, llamada Inteligencia Halcón .

Una empresa que no quiera mantener a un experto en seguridad en su personal se estaría perdiendo el beneficio de caza de amenazas manual y análisis de seguridad experto. CrowdStrike satisface esta necesidad con la Supervisión paquete. Este es un centro de operaciones de seguridad completo que proporciona detección de amenazas y gestión de respuesta en todo el sistema para los clientes suscriptores. Este es el paquete Falcon XDR SaaS con analistas de seguridad agregados.

Ventajas:

• Opción de un servicio gestionado
• Fuente de inteligencia sobre amenazas
• REMONTARSE

Contras:

• Muchas opciones pueden tomar tiempo para evaluarse

El plan Overwatch incluye una instalación de Falcon Prevent en cada punto final. Puedes obtener una prueba gratuita de 15 días de CrowdStrike Falcon Prevent.

4. XDR administrado por Trend Micro

XDR administrado por Trend Micro es un plan SOC de alquiler que agrega los servicios de especialistas en seguridad al Trend Micro Visión Uno Paquete de seguridad del sistema. Vision One es un SaaS XDR con agentes en el dispositivo y SOAR, que llega a herramientas de seguridad de terceros.

Características clave:

• Caza de amenazas multinivel
• Analistas de seguridad
• REMONTARSE

El servicio Vision One es un coordinador en la nube de AV residentes en endpoints de Trend Micro en el dispositivo que realizan su propia búsqueda de amenazas localmente. Estas unidades cargan datos de actividad en el servidor de Trend Micro para búsqueda de amenazas en toda la empresa . El sistema de detección de amenazas de Trend Micro se llama Información sobre el riesgo de confianza cero . Busca accesos anómalos a aplicaciones, identificando amenazas internas e intrusiones.

El servicio gestionado incluye sistemas automatizados y analistas expertos. Caza de amenazas manual reduce los inconvenientes de que tareas legítimas poco frecuentes sean bloqueadas por procesos EDR automatizados. El análisis también puede producir recomendaciones para fortalecer el sistema.

Ventajas:

• Adecuado para empresas que no tienen expertos en seguridad en nómina
• Puede gestionar la seguridad de varios sitios.
• Informes de cumplimiento

Contras:

• Más caras que las opciones autogestionadas

Puede obtener acceso a un sistema de demostración, que se llama Prueba de manejo de Visión Uno .

5. Plataforma Cynet 360 AutoXDR

Plataforma Cynet 360 AutoXDR incluye una capa de búsqueda de amenazas que recopila información sobre actividad maliciosa de herramientas de terceros en el sitio. Esta plataforma es residente en la nube y proporciona varias utilidades para ayudar a los sistemas automatizados en el sitio a detectar amenazas.

Características clave:

• Basado en la nube
• Recolectores de datos locales
• Técnicas de engaño

Los servicios de identificación de amenazas de Cynet 360 incluyen caja de arena y un tarro de miel sistema que proporciona un avance falso a los piratas informáticos y los lleva a una unidad de análisis.

Además de su propia estructura de laboratorio de investigación, el Protección autónoma contra infracciones El sistema en Cynet 360 recopila información local a través de agentes en una red llamada Fusión de sensores . Se implementa el proceso de búsqueda de amenazas análisis del comportamiento de usuarios y entidades (UEBA) para evaluar la intención del tráfico comercial habitual en la red y bloquear la actividad maliciosa a través de SOAR.

Ventajas:

• Búsqueda de amenazas basada en anomalías con UEBA para establecer líneas de base
• REMONTARSE
• Forense de la memoria

Contras:

• Sin administrador de registros

Ofertas Cynet una prueba gratuita de 14 días de la plataforma AutoXDR.

6. Fusión Exabeam

Fusión Exabeam es una plataforma en la nube con agentes en sitio que implementa detección, investigación y respuesta a amenazas (TDIR). El paquete puede funcionar como XDR o SIEM. La herramienta extrae datos de origen de sus agentes en el sitio para alimentarlos detección de amenazas Módulo que opera en la nube.

Características clave:

• Caza de amenazas basada en anomalías
• UEBA
• Informes de cumplimiento

El servicio de búsqueda de amenazas Exabeam Fusion utiliza la detección de anomalías, que se basa en UEBA para establecer líneas base de actividades. El servicio se puede adaptar a requisitos de estándares de protección de datos específicos y luego también generará automáticamente informes de cumplimiento.

El sistema se basa en información de registro para datos de origen y puede interactuar directamente con una lista de paquetes de software a través de una biblioteca de conectores . El servicio también consolidará y almacenará registros para el análisis manual de búsqueda de amenazas y la auditoría de cumplimiento.

Ventajas:

• Recopila datos de actividad de las aplicaciones.
• Examina archivos de registro de sistemas operativos.
• Gestión de registros

Contras:

• Los puntos finales no están protegidos si se desconectan de la red

Puede evaluar Exabeam Fusion con una demostración .

7. Rapid7 InsightIDR

Rapid7 es una plataforma en la nube de módulos de ciberseguridad. Usted selecciona los servicios que desea en el menú de opciones y esos paquetes se combinan. El sistema de nube se llama Perspectiva rápida7 y el paquete XDR en esa plataforma se llama InsightIDR – IDR significa “ detección y respuesta a incidentes ”Y también se puede utilizar como SIEM de próxima generación.

Características clave:

• SIEM
• Inteligencia de amenazas
• Tanto basado en anomalías como en firmas.

El servicio InsightIDR requiere que los agentes estén instalados en puntos finales protegidos. Los registros cargados que recopilan esos agentes proporcionan el material fuente para SIEM búsqueda y también se almacenarán en archivos de registro para la búsqueda manual de amenazas y la auditoría de cumplimiento.

Rapid7 proporciona información de inteligencia sobre amenazas al servicio de búsqueda de amenazas, que se denomina Análisis del comportamiento de ataque (ABA) módulo. Ese sistema ABA se basa en firmas, pero interactúa con búsquedas UEBA basadas en anomalías para proporcionar una estrategia combinada de búsqueda de amenazas.

Ventajas:

• Búsqueda rápida de amenazas, gracias a la clasificación basada en inteligencia de amenazas
• Utiliza UEBA
• Respuestas automatizadas

Contras:

• SOAR cuesta extra

Otro paquete disponible en la plataforma Insight es Conexión de información , que amplía las capacidades de InsightIDR agregando REMONTARSE conectores.

Puede evaluar Rapid7 InsightIDR con una prueba gratuita de 30 días .