Administrador De Red

Las 9 mejores plataformas de inteligencia sobre amenazas (TIP)

Las mejores plataformas de inteligencia sobre amenazas



APlataforma de inteligencia sobre amenazas (TIP)tiene como objetivo bloquear atacantes repetidos e identificar vectores de intrusión comunes. Esta tecnología emergente es un avance con respecto a los sistemas antivirus (AV) y firewall tradicionales. Un consejoproteja su equipo de TI aplicando estrategias de aprendizaje basadas en IA.

En los últimos años han surgido varias tecnologías de reemplazo para mejorar la protección empresarial que ofrecen los sistemas tradicionales de malware.



Los programas antimalware comparan el código de nuevos programas que se ejecutan en una computadora con una base de datos de firmas de malware detectadas previamente.

Aquí está nuestra lista de las nueve mejores plataformas de inteligencia sobre amenazas:

  1. Administrador de eventos de seguridad de SolarWinds ELECCIÓN DEL EDITOR Utiliza una estrategia de detección de amenazas de análisis de archivos de registro combinada con una transmisión en vivo de alertas de amenazas de origen externo.
  2. ManageEngine Log360 (PRUEBA GRATUITA) Busca amenazas en los datos del archivo de registro de Windows Server o Linux y agrega inteligencia sobre amenazas de tres fuentes.
  3. CrowdStrike Falcon Intelligence (PRUEBA GRATUITA)Una gama de niveles de protección de inteligencia contra amenazas con procesos automatizados y opciones superiores que incluyen investigación e intervención humana.
  4. Inteligencia de amenazas de Datadog (PRUEBA GRATUITA) Fuentes de inteligencia sobre amenazas llave en mano seleccionadas por socios de inteligencia sobre amenazas seleccionados como un SIEM en la nube. Las fuentes de datos se actualizan continuamente sobre actividades sospechosas a medida que se conocen y están disponibles.
  5. AfueraUn monitor de sistema diseñado para MSP que incluye auditoría de software y análisis de registros.
  6. Plataforma de seguridad FireEye Helix Combina una consola de detección de amenazas SIEM basada en la nube, métodos de aprendizaje de IA y una fuente de inteligencia sobre amenazas.
  7. Monitor de amenazas N-able Un servicio basado en la nube comercializado para MSP. Esta es una herramienta SIEM que permite a los MSP agregar monitoreo de seguridad a su lista de servicios.
  8. Gestión de seguridad unificada de AlienVault Incluye detección de amenazas, respuesta a incidencias e intercambio de inteligencia sobre amenazas.
  9. SIEM LogRhythm NextGen Incluye el monitoreo en vivo de los datos de tráfico y el análisis de los registros de archivos de registro.

Plataformas de inteligencia de amenazas versus software antivirus tradicional

En el modelo antimalware tradicional, un laboratorio de investigación central investiga nuevas amenazas para derivar patrones que las identifiquen. Estas características de detección de malware luego se distribuyen a todos los programas antivirus instalados que la empresa ha vendido a los clientes. El sistema antimalware local mantiene una base de datos de amenazas que contiene esta lista de firmas de ataques derivadas del laboratorio central.



El modelo de base de datos de amenazas AV ya no es eficaz para proteger las computadoras. Esto se debe a que equipos profesionales de hackers ahora participan en líneas de producción de malware y a diario aparecen nuevas amenazas. Dado que a los laboratorios de investigación les lleva tiempo detectar un nuevo virus y luego identificar sus características, el tiempo de entrega de las soluciones antivirus típicas es ahora demasiado largo para ofrecer una protección empresarial eficaz.

Detectar una amenaza

Una plataforma de inteligencia de amenazas todavía incluye una base de datos de amenazas. Sin embargo, en lugar de depender de que los usuarios informen sobre comportamientos extraños a la sede del productor audiovisual, los nuevos sistemas de ciberseguridad tienen como objetivo contener todas las investigaciones y soluciones de amenazas en el equipo de cada cliente. De hecho, cada instalación TIP se convierte en un paquete compuesto de detección, análisis y resolución. Ya no es necesario actualizar la base de datos de amenazas desde un laboratorio central porque cada máquina realiza el trabajo del equipo de investigadores.

Este modelo distribuido de recopilación de datos antivirus es mucho más eficiente para combatir los ataques de 'día cero'. El término “día cero” se refiere a nuevos virus que aún no han sido identificados por los principales laboratorios antivirus del mundo y contra los cuales, hasta el momento, no existe una defensa eficaz. Sin embargo, cada máquina no funciona sola. La información sobre nuevas amenazas descubiertas se comparte entre los usuarios de una marca específica de TIP.

El TIP utiliza procedimientos de detección localmente sin dejar de depender de una base de datos de amenazas, a la que contribuyen análisis locales y descargas frecuentes de los laboratorios del proveedor de software. Esas descargas se derivan de los descubrimientos realizados por el mismo TIP que otros clientes instalan en otros sitios.

Las mejores plataformas, herramientas y proveedores de software de inteligencia contra amenazas

Aunque cada TIP utiliza un conjunto similar de estrategias para detectar eventos maliciosos, no todos los TIP son igualmente efectivos . Algunos proveedores de seguridad se centran en un tipo específico de dispositivo y un sistema operativo específico. También podrían proporcionar sistemas de protección para otros tipos de dispositivos y sistemas operativos, pero sin el mismo nivel de éxito que lograron con su producto principal.

No es fácil identificar un buen TIP y las afirmaciones, alardes y la oscura jerga de la industria utilizada en los sitios web promocionales de sus productores hacen que buscar el TIP adecuado sea un ejercicio muy agotador.

Nuestra metodología para seleccionar una plataforma de inteligencia de amenazas

Revisamos el mercado de sistemas de detección de inteligencia de amenazas y analizamos herramientas en función de los siguientes criterios:

  • Aprendizaje automático para una base de actividad normal
  • Detección de actividad anómala
  • Feeds de inteligencia de amenazas que adaptan las rutinas de detección
  • Alertas de actividad sospechosa para atraer técnicos
  • Intercambio de experiencias y resúmenes de notificaciones de amenazas en toda la industria
  • Una demostración o una prueba gratuita para una oportunidad de evaluación sin riesgos
  • Buena relación calidad-precio gracias a una fuente integral de inteligencia sobre amenazas a un precio justo

Afortunadamente, hemos hecho el trabajo preliminar por usted. Con estos criterios de selección en mente, identificamos servicios de seguridad de red con fuentes de inteligencia sobre amenazas que estaremos encantados de recomendar.

1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)

Administrador de eventos de seguridad de SolarWinds

Administrador de eventos de seguridad (SEM) de las cosechadoras SolarWinds seguimiento de eventos en su red con un información de inteligencia sobre amenazas suministrado desde una fuente externa. Esta herramienta no sólo detectará amenazas, sino que activará automáticamente respuestas para proteger su sistema.

Características clave

  • UN TÚ
  • Acciones de remediación automatizadas
  • Crea un almacén local de inteligencia sobre amenazas
  • Se ejecuta en Windows Server
  • Informes de cumplimiento

En el corazón de esta solución de seguridad, encontrará una herramienta de análisis de registros . Esto monitorea la actividad de la red, busca eventos inusuales y también rastrea los cambios en archivos esenciales. El segundo elemento de este CONSEJO de SolarWinds es un marco de inteligencia sobre amenazas cibernéticas .

Security Event Manager funciona a partir de una base de datos de eventos sospechosos conocidos y rastrea la red en busca de dichos sucesos. Algunas actividades sospechosas sólo pueden detectarse combinando datos de fuentes independientes en su sistema. Este análisis solo se puede realizar mediante el análisis del registro de eventos y, por lo tanto, no es una tarea en tiempo real.

Aunque SEM comienza con una base de datos de firmas de amenazas lista para usar, la herramienta ajustará y ampliará ese almacén de perfiles de amenazas mientras esté en servicio. Este proceso de aprendizaje reduce la molesta aparición de ' falsos positivos ”, lo que puede provocar que algunos servicios de protección contra amenazas cierren la actividad legítima.

El analizador de registros en SEM recopila continuamente registros de fuentes incompatibles y los reformatea en un diseño neuronal común. Esto permite al analizador buscar patrones de actividad en todo su sistema, independientemente de la configuración, el tipo de equipo o el sistema operativo.

Ventajas:

  • SIEM centrado en la empresa con una amplia gama de integraciones
  • Filtrado de registros simple, sin necesidad de aprender un lenguaje de consulta personalizado
  • Docenas de plantillas permiten a los administradores comenzar a utilizar SEM con poca configuración o personalización
  • La herramienta de análisis histórico ayuda a encontrar comportamientos anómalos y valores atípicos en la red

Contras:

  • SEM es un producto SIEM avanzado creado para profesionales; requiere tiempo para aprender completamente la plataforma

Administrador de eventos de seguridadse instala en Servidor de windows y SolarWinds ofrece el sistema en unPrueba gratuita de 30 días. Este período de prueba le dará tiempo para probar las pantallas de configuración manual de reglas que le permiten mejorar la base de datos de inteligencia de amenazas procesable para reflejar con mayor precisión las actividades típicas de su sitio. También podrá darle una revisión completa al módulo de informes de cumplimiento para garantizar que el SEM satisfaga todas sus necesidades de informes.

SELECCIÓN DEL EDITOR

Administrador de eventos de seguridad de SolarWindses nuestra mejor opción. Perfecto para la detección de amenazas y desencadenar respuestas automatizadas a esas amenazas. Los informes son de primera categoría y el panel es fácil de navegar.

Inicie la prueba gratuita de 30 días:solarwinds.com/security-event-manager

TÚ:Windows 10 y posterior, Windows Server 2012 y posterior, basado en la nube: hipervisor, AWS y MS Azure

2. ManageEngine Log360 (PRUEBA GRATUITA)

Vista del panel de ManageEngine Log360

AdministrarEngine Log360es un TIP muy completo que investiga todas las fuentes posibles de datos de registro para reforzar la seguridad del sistema.

ManageEngine ya ofrece una gama de herramientas de análisis y gestión de registros. Sin embargo, la empresa decidió agruparlos en un módulo combinado que cubre todas las posibles fuentes de información del sistema basadas en archivos. TI también integra fuentes externas de información como STIX/TAXII Feeds basados ​​en direcciones IP incluidas en la lista negra.

Características clave

  • Gestión y análisis de registros.
  • Receptivo a los feeds de inteligencia sobre amenazas STIX/TAXII
  • Protege el directorio activo
  • Se ejecuta en Windows Server

Así como controlar Registros de eventos , la herramienta integra la información residente en Directorio Activo . Esto ayuda al motor de detección de esta herramienta a verificar quién tiene derechos para acceder a los recursos utilizados en las actividades que registran los mensajes. La herramienta monitorea los cambios en Active Directory para garantizar que los intrusos no puedan otorgarse derechos de acceso.

El alcance de esta herramienta de seguridad se extiende a la web porque también recopila informes de auditoría de AWS , Azur , y Intercambio en línea .

Usted sabe que Exchange, Azure, Event Logs y Active Directory son todos productos de Microsoft. Sin embargo, Log360 no se limita a monitorear sistemas basados ​​en Windows. También recopila mensajes de registro generados en linux y Unix sistemas, como mensajes Syslog. La herramienta examinará todos los mensajes de IIS y Apache Web Server y cubre los mensajes generados por Oráculo bases de datos.

El hardware de su red y los sistemas de seguridad perimetral también tienen información importante para compartir, por lo que Log360 escucha los mensajes de registro que surgen en firewalls, enrutadores y conmutadores. Si tiene instalados otros sistemas de protección y detección de intrusiones, Log360 integrará sus hallazgos en sus resúmenes de inteligencia sobre amenazas.

Log360 no crea registros sobre registros, que podría terminar pasando por alto. El sistema crea alertas de inteligencia de amenazas en tiempo real , para que su equipo reciba una notificación tan pronto como se detecte actividad sospechosa. Además de la supervisión, el paquete Log360 audita, resume e informa periódicamente sobre la seguridad de todo su sistema de TI.

Ventajas:

  • Excelentes visualizaciones de tablero, ideales para NOC y MSP
  • Puede integrar múltiples flujos de datos de amenazas en la plataforma
  • Ofrece una búsqueda sólida de registros para análisis de eventos históricos y en vivo.
  • Proporciona monitoreo multiplataforma para sistemas Windows, Linux y Unix.
  • Puede monitorear los cambios de configuración, evitando la escalada de privilegios.

Contras:

  • ManageEngine ofrece un conjunto de funciones y servicios avanzados que puede explorar y probar

Puede instalar el software Log360 en ventanas y Servidor de windows . Ofertas de ManageEngineuna prueba gratuita de 30 díasdelEdición profesionalHay unEdición gratuitaeso se limita a recopilar datos de registro de solo cinco fuentes. Si tienes requisitos diferentes puedesdiscutir preciospara un paquete que se adapte a sus necesidades.

ManageEngine Log360 Descargar prueba GRATUITA de 30 días

3. CrowdStrike Falcon Intelligence (PRUEBA GRATUITA)

CrowdStrike Falcon Intelligence - Vista de gráfico de indicadores

Multitud de huelgacreado una plataforma de ciberseguridad llamada Falcon . Esto se centra en la protección de terminales. Uno de los productos que la empresa construyó sobre su plataforma Falcon esInteligencia CrowdStrike Falcon. Se trata de un servicio de inteligencia de amenazas que basa la mayoría de los requisitos de procesamiento en el servidor CrowdStrike en la nube.

Características clave

  • Planes de inteligencia de amenazas
  • Disponible como informe o como feed
  • Incluido en un paquete con otras herramientas de seguridad

La arquitectura innovadora de la plataforma Falcon requiere un pequeño programa de agente que se instalará en cada dispositivo protegido. La mayor parte del trabajo se realiza en la nube, por lo que su protección contra amenazas no ralentizará sus puntos finales protegidos.

El plan base de Falcon Intelligence incluye procesos automatizados . El próximo plan se llama Halcón Inteligencia Premium y eso incluye un informe de inteligencia procesable diario y barridos de Internet personalizados que buscan específicamente el nombre, la marca o las menciones de los empleados de su empresa en las redes sociales o en sitios pegados. Por ejemplo, cualquier contraseña robada puesta a la venta o filtrada públicamente se detectará en esta búsqueda.

El plan más alto se llama. Élite de inteligencia Falcon . A cada cliente de este plan se le asigna un analista de inteligencia. Este servicio es excelente para aquellas empresas que desean subcontratar todo y obtener una solución administrada de inteligencia contra amenazas en lugar de solo herramientas automatizadas de protección.

Todos los planes de Falcon Intelligence incluyen el Indicadores de compromiso (COI) informe. Esto coloca las amenazas identificadas en su sistema en un contexto global. El COI muestra dónde se originó el malware o los ataques que experimenta y si se sabe que los mismos grupos de piratas informáticos utilizan otros métodos para atacar los sistemas corporativos. Esta relación entre vectores conocidos alerta a la empresa suscriptora sobre posibles amenazas futuras.

Los agentes que operan en cada punto final escanean toda la actividad en el dispositivo y cargan archivos sospechosos al servidor CrowdStrike para su análisis. Hay no hay necesidad de intervención humana en este proceso. Sin embargo, el administrador del sistema recibirá retroalimentación sobre las amenazas detectadas y las acciones implementadas para cerrarlas.

Ventajas:

  • No depende únicamente de los archivos de registro para la detección de amenazas, utiliza el escaneo de procesos para encontrar amenazas de inmediato
  • Actúa como una herramienta HIDS y de protección de endpoints, todo en uno
  • Puede rastrear y alertar sobre comportamientos anómalos a lo largo del tiempo; mejora cuanto más tiempo monitorea la red
  • Puede instalarse de forma local o directamente en una arquitectura basada en la nube.
  • Los agentes livianos no ralentizarán los servidores ni los dispositivos de los usuarios finales

Contras:

  • Se beneficiaría de un período de prueba más largo

CrowdStrike ofrece una prueba gratuita de 15 días de Falcon Intelligence.

CrowdStrike Falcon Intelligence comienza una prueba GRATUITA de 15 días

4. Inteligencia contra amenazas de Datadog (PRUEBA GRATUITA)

Inteligencia de amenazas de Datadog

Inteligencia de amenazas de Datadog se ofrece desde la nube de Datadog plataforma saas que incluye una gama de servicios de suscripción para el monitoreo del sistema. El sistema requiere la instalación de agentes en las redes monitoreadas y también puede incluir recursos en la nube con la activación de una integración.

El perro de datos agentes También pueden actuar como recolectores de datos para otros servicios de Datadog en combinación. Esos agentes locales cargan mensajes de registro y otros datos del sistema al servidor de Datadog donde se lleva a cabo la búsqueda de amenazas.

Características clave

  • sistema SIEM
  • Centraliza la seguridad para varios sitios.
  • Utiliza UEBA

El sistema UEBA en Datadog Threat Intelligence es un análisis del comportamiento de usuarios y entidades sistema. Esto es un Basado en IA sistema que utiliza el aprendizaje automático para establecer una línea de base de actividad normal. Las desviaciones de ese patrón identifican actividades que requieren un mayor escrutinio.

El cazador de amenazas busca patrones de comportamiento, que se denominan Indicadores de compromiso (IoC). La base de datos de IoC se deriva de las experiencias de todos los clientes de Datadog, creando un grupo de inteligencia sobre amenazas.

Datadog utiliza un método llamado REMONTARSE para interactuar con paquetes suministrados por otros proveedores. Esto significa Orquestación, automatización y respuesta de seguridad. . Significa que los agentes pueden recopilar datos operativos de sistemas como administradores de derechos de acceso, conmutadores y firewalls. En la otra dirección, el servidor puede enviar instrucciones a esos dispositivos clave de la red para detener la intrusión o eliminar el malware.

Las funciones SOAR y UEBA de Datadog Threat Intelligence significan que no necesita descartar por completo toda su configuración de protección de seguridad actual. El sistema Datadog se ubicará encima de sus servicios existentes y aumentará sus capacidades de protección.

Inteligencia de amenazas de Datadog Incluye servicios adicionales que serían de interés para desarrolladores y departamentos de DevOps. Estos incluyen un generador de perfiles de código y sistemas de prueba continua para canalizaciones de CI/CD.

Ventajas:

  • Se integra con otros servicios de Datadog
  • Implementa SIEM
  • Centraliza el monitoreo de muchos sitios y recursos de la nube.
  • Consola basada en web

Contras:

  • Los sistemas protegidos requieren disponibilidad constante de Internet.

Datadog Threat Intelligence, como todas las unidades de Datadog, es un servicio de suscripción . Paga una tarifa mensual por cada GB de datos de registro procesados ​​por el servicio. Datadog ofrece todos sus módulos en una prueba gratuita de 14 días.

Datadog Threat Intelligence comienza una prueba GRATUITA de 14 días

5. Sácalo

Saque el tablero

Afuera es una plataforma de soporte creada para proveedores de servicios gestionados (MSP) . Es entregado desde la nube , por lo que el MSP no necesita instalar ningún software en sus instalaciones e incluso no necesita ejecutar ninguna infraestructura de TI importante. Todo lo que necesita es una computadora con conexión a Internet y un navegador web. Sin embargo, el sistema supervisado necesita que se le instale un software especial. Esto es un programa de agente que recopila datos y se comunica con los servidores de Atera.

Características clave

  • Diseñado para MSP
  • Combina RMM y PSA
  • Monitorear sistemas remotos

Al ser un servicio remoto, Atera puede monitorear cualquier instalación del cliente, incluidas las basadas en la nube. AWS y Azur servidores. El servicio incluye un proceso de detección automática, que registra todos los equipos conectados a la red. Para terminales y servidores, el sistema de monitoreo escaneará todo el software y creará un inventario. Esta es una fuente de información esencial para la gestión de licencias de software y también es un importante servicio de protección contra amenazas. Una vez compilado el inventario de software, el operador puede comprobar qué software no autorizado está instalado en cada dispositivo y luego eliminarlo.

El monitor del servidor comprueba los procesos como parte de sus tareas habituales y esto resaltará el software malicioso en ejecución. El operador puede acceder al servidor de forma remota y eliminar procesos no deseados.

Atera monitorea los controladores de derechos de acceso en el sitio del cliente, incluidos Directorio Activo . La herramienta Live Manager en el paquete Atera brinda acceso a Evento de Windows registra y proporciona una fuente de búsqueda de posibles violaciones de seguridad.

Otro servicio de protección contra amenazas contenido en el paquete Atera es su administrador de parches . Esto actualiza automáticamente los sistemas operativos y el software de aplicaciones clave cuando estén disponibles. Este importante servicio garantiza que cualquier remedio contra exploits producido por los proveedores de software se instale lo más rápido posible.

Ventajas:

  • Prueba gratuita de 30 días
  • El escaneo continuo de la red hace que el inventario sea fácil y preciso
  • Sistema de emisión de tickets integrado, ideal para MSP que desean manejar amenazas en sus instalaciones
  • El precio se basa en la cantidad de técnicos, no en usuarios admitidos.

Contras:

  • Podría beneficiarse de más integraciones con otras herramientas de acceso remoto y Azure AD

Atera se cobra mediante suscripción con la tarifa de cargo establecida por técnico . Los compradores pueden elegir entre un plan de pago mensual o una tarifa anual. El periodo de pago anual resulta más económico. Puedes acceder a un prueba gratis para poner a Atera a prueba.

6. Plataforma de seguridad FireEye Helix

Plataforma de seguridad FireEye Helix

Plataforma de seguridad FireEye Helix es un sistema de protección combinado basado en la nube para redes y puntos finales. La herramienta incluye un enfoque SIEM que monitorea la actividad de la red y también administra y busca archivos de registro. El fuentes de inteligencia sobre amenazas proporcionada por FireEyes completa esta solución multifacética al proporcionar una base de datos de amenazas actualizada para su sistema de monitoreo.

Características clave

  • Paquete SaaS
  • Actualizar constantemente la base de datos de amenazas
  • Flujos de trabajo de remediación

FireEyes es una destacada empresa de ciberseguridad y utiliza su experiencia para proporcionar servicios de inteligencia sobre amenazas a nivel mundial. suscripción base. El formato y la profundidad de esa inteligencia dependen del plan seleccionado por el cliente. FireEyes ofrece advertencias para toda la industria sobre nuevos vectores de amenazas, lo que permite a los administradores de infraestructura planificar la defensa. También ofrece una fuente de inteligencia sobre amenazas, que se traduce directamente en reglas de detección y resolución de amenazas en Helix Security Platform.

El paquete Helix también incluye “ libros de jugadas ”, que son flujos de trabajo automatizados que implementan la solución de amenazas una vez que se ha detectado un problema. Estas soluciones a veces incluyen asesoramiento sobre prácticas seguras y acciones de limpieza, así como respuestas automatizadas.

Ventajas:

  • Excelente interfaz, el tema oscuro es excelente para el monitoreo a largo plazo en los NOC
  • El modelo de suscripción mantiene su base de datos actualizada con las amenazas y los malos actores más recientes.
  • Proporciona información para acciones correctivas y preventivas basadas en eventos recientes.
  • Los Playbooks ofrecen flujos de trabajo de corrección para solucionar problemas automáticamente

Contras:

  • La configuración puede ser un desafío
  • Los informes pueden ser engorrosos y difíciles de personalizar

7. Monitor de amenazas N-able

Monitor de amenazas N-able

ElMonitor de amenazases un producto de N-capaz que proporciona software y servicios para apoyar a los proveedores de servicios gestionados. Los MSP ofrecen periódicamente servicios de gestión de redes e infraestructura de TI, por lo que la incorporación de la supervisión de la seguridad es una extensión natural de las actividades habituales de dichos MSP.

Características clave

  • Un SIEM creado para MSP
  • Basado en la nube
  • Gestión de registros

Esto es un información de seguridad y gestión de eventos (SIEM) sistema. Un SIEM analiza la actividad en vivo en el sistema monitoreado y también busca en los registros del sistema para detectar rastros de actividades maliciosas. El servicio es capaz de monitorear los sistemas in situ de los clientes del MSP y también cualquier Azur o AWS servidor que utiliza el cliente.

Las ventajas del monitor N-able Threat Intelligence radican en su capacidad para recopilar información de cada punto de la red y de los dispositivos conectados a ella. Esto brinda una visión más completa de los ataques que un único punto de recolección. Las amenazas se identifican por patrones de comportamiento y también por referencia a la base de datos central de SolarWinds Threat Intelligence, que se actualiza constantemente. El base de datos de inteligencia de amenazas se compila a partir de registros de eventos que ocurren en todo el mundo. Por lo tanto, es capaz de detectar inmediatamente cuando los piratas informáticos lanzan ataques globales o intentan los mismos trucos contra muchas víctimas diferentes.

Los niveles de alarma del servicio pueden ser ajustados por el operador del MSP. El tablero del sistema incluye visualizaciones para eventos , como diales y gráficos, así como listas en vivo de controles y eventos. El servicio se entrega desde la nube y también lo es. accedido a través de cualquier navegador web . N-able Threat Intelligence es un servicio de suscripción, por lo que es completamente escalable y adecuado para que lo utilicen MSP de todos los tamaños.

Ventajas:

  • Diseñado pensando en los MSP y revendedores
  • Puede escanear y extraer registros de la nube y de entornos de nube híbrida.
  • Se pueden configurar diferentes niveles de alarma, ideal para mesas de ayuda grandes
  • Accesible desde cualquier navegador

Contras:

  • La funcionalidad para Mac no es tan sólida como la de Windows
  • Me gustaría un proceso más ágil para incorporar nuevos clientes

8. Gestión de seguridad unificada de AlienVault

AlienVault USM

Gestión de seguridad unificada de AlienVault (USM) es un producto de Ciberseguridad de AT&T , que adquirió la marca AlienVault en 2018. AlienVault USM evolucionó a partir de un proyecto de código abierto llamado osim , que significa 'gestión de información de seguridad de código abierto'. OSSIM todavía está disponible de forma gratuita con AlienVault USM ejecutándose como producto comercial.

Características clave

  • Intercambio abierto de amenazas
  • SIEM basado en la nube
  • Caza de amenazas con procesos de IA

En realidad, OSSIM es un nombre inapropiado porque el sistema es un SIEM completo, que incluye tanto el monitoreo del análisis de mensajes de registro como el examen del tráfico de la red en tiempo real. AlienVault USM también incluye ambos elementos. AlienVault tiene una serie de funciones adicionales que no están disponibles en OSSIM, como consolidación de registros, gestión de almacenamiento de archivos de registros y archivado. AlienVault USM es un servicio de suscripción basado en la nube eso viene con soporte completo por teléfono y correo electrónico , mientras que OSSIM está disponible para descargar y depende de los foros de la comunidad para obtener soporte.

Un beneficio clave que está disponible para los usuarios de productos de seguridad tanto gratuitos como de pago es el acceso a Intercambio abierto de amenazas (OTX) . Este es el servicio de plataforma de inteligencia sobre amenazas proporcionado por la multitud más grande del mundo. La información disponible en OTX se puede descargar automáticamente en AlienVault USM para proporcionar una base de datos de amenazas actualizada. Esto proporciona las reglas de detección y los flujos de trabajo de resolución que necesita SIEM. El acceso a OTX es gratuito para todos.

Ventajas:

  • Disponible para Mac y Windows
  • Puede escanear archivos de registro y proporcionar informes de evaluación de vulnerabilidades basados ​​en dispositivos y aplicaciones escaneados en la red.
  • El portal impulsado por el usuario permite a los clientes compartir sus datos sobre amenazas para mejorar el sistema.
  • Utiliza inteligencia artificial para ayudar a los administradores a detectar amenazas

Contras:

  • Los registros pueden ser difíciles de buscar y analizar
  • Me gustaría ver más opciones de integración con otros sistemas de seguridad.

9. LogRhythm SIEM de próxima generación

LogRitmo

LogRhythm denomina su SIEM de próxima generación como un marco de gestión del ciclo de vida de amenazas (TLM) . La plataforma sirve para dos productos LogRhythm, que son las gamas Enterprise y XM. Ambos productos están disponibles como dispositivo o como software. LogRhythm Enterprise está dirigido a organizaciones muy grandes, mientras que LogRhythm XM presta servicios a pequeñas y medianas empresas.

Características clave

  • SIEM
  • Gestión de registros
  • Informes de cumplimiento

SIEM significa Gestión de información de eventos de seguridad . Esta densa estrategia combina dos actividades, Gestión de información de seguridad (SIM) y Gestión de eventos de seguridad (SEM). SEM monitorea el tráfico en tiempo real, buscando patrones de ataque que se almacenan en una base de datos de amenazas. SIM también hace referencia a la base de datos de amenazas, pero compara los eventos registrados en los archivos de registro con los patrones establecidos en las reglas de detección de amenazas.

El software para NextGen SIEM se puede instalar en ventanas , linux , o Unix . También es posible mantener su sistema de gestión de amenazas completamente independiente de su hardware comprando el sistema como un dispositivo que se conecta a su red.

Ventajas:

  • Utiliza asistentes simples para configurar la recopilación de registros y otras tareas de seguridad, lo que la convierte en una herramienta más amigable para principiantes.
  • Interfaz elegante, altamente personalizable y visualmente atractiva
  • Aprovecha la inteligencia artificial y el aprendizaje automático para el análisis del comportamiento

Contras:

  • Me gustaría ver una opción de prueba.
  • El soporte multiplataforma sería una característica bienvenida

Elegir un proveedor de plataforma de inteligencia sobre amenazas

El sector de la ciberseguridad es muy vibrante en este momento. El crecimiento de las amenazas de intrusión, sumado al riesgo siempre presente de malware, ha obligado a la industria a repensar por completo su enfoque de la protección del sistema. Esta situación ha provocado que los principales productores audiovisuales inviertan grandes cantidades de dinero en técnicas innovadoras de IA y nuevas estrategias para combatir a los piratas informáticos y a los ciberterroristas.

Los nuevos actores en el mercado añaden presión adicional a la reputación de los proveedores de ciberseguridad establecidos y mantienen superando los límites de la tecnología de ciberseguridad . Las plataformas de inteligencia de amenazas desempeñan un papel importante en la lucha por la ciberseguridad junto con los SIEM y los sistemas de prevención de intrusiones.

Aunque aparecen nuevos TIP todo el tiempo, estamos seguros de que las plataformas de inteligencia contra amenazas recomendadas en nuestra lista permanecerán a la cabeza del grupo. Esto se debe a que las empresas que los proporcionan tienen una larga experiencia en el campo y han demostrado que están preparadas para innovar para adelantarse a las amenazas.

Preguntas frecuentes sobre plataformas de inteligencia de amenazas

¿Cuál es la diferencia entre inteligencia de amenazas y caza de amenazas?

La búsqueda de amenazas es el proceso de buscar indicadores de compromiso (IOC). La inteligencia de amenazas es una lista de COI a tener en cuenta. Parte de la inteligencia sobre amenazas está integrada en la mayoría de los módulos de búsqueda de amenazas; estos son los eventos fundamentales a los que hay que prestar atención, como los intentos de inicio de sesión fallidos excesivos y rápidos que indican un ataque de fuerza bruta. Otra inteligencia sobre amenazas es nueva información que identifica una nueva estrategia de ataque que los piratas informáticos apenas han comenzado a utilizar. Una fuente de inteligencia de amenazas transmite la noticia de un ataque de día cero a otros suscriptores, de modo que tan pronto como un usuario del grupo descubre ese ataque, todos los demás clientes lo saben y su módulo de búsqueda de amenazas puede buscarlo.

¿Cómo describe las diferencias entre inteligencia contra amenazas y SIEM?

Los sistemas SIEM buscan a través de mensajes de registro indicadores de compromiso (IOC). La inteligencia de amenazas proporciona una lista de COI a tener en cuenta. Los SIEM de próxima generación incluyen acceso a una fuente de inteligencia sobre amenazas en vivo que proporciona IOC actualizados al minuto.

¿Pueden las plataformas de inteligencia contra amenazas detener dominios maliciosos?

Una plataforma de inteligencia de amenazas incluye una lista formateada de posibles ataques. Esto incluirá direcciones IP y dominios que se sabe que utilizan actores maliciosos.

^