Uma visão mais detalhada de SandaS

SandaS é o produto que tem sido desenvolvido pela ElevenPaths para dar resposta aos desafios que enfrentam aqueles que tem responsabilidade por pela gestão da segurança lógica de uma organização.

O primeiro desafio para a gestão da segurança é detectar incidentes de segurança no menor tempo possível. As ferramentas básicas para este fim são o SIEM (Security Information e Event Management), que recolhem as informações de sistemas e de ferramentas de segurança, normalizam e correlacionam os dados para detectar incidentes. A manutenção e operação de um SIEM é uma atividade que requer atenção constante e ajuste para que seja eficaz.

SandaS CA é o módulo de SandaS que se integra com o SIEM e o complementa com:

• Processamento da informação que recebe SIEM com um conjunto de algoritmos próprios que permitem detectar atividades que podem passar despercebidos por estes. Esses algoritmos não somente processam a informações obtida localmente, mas agrega inteligência de todos os clientes assim a partir de nossas fontes externas de segurança cibernética para maior confiabilidade na detecção.
• Geração dos alertas correspondentes, que são injetados numa SIEM para o tratamento unificado.
• Coleta dos alertas de SIEM tanto pela sua correlação nativa como as geradas por SandaS, para o processamento automático mediante o módulo SandaS RA.
• Informação de dados agregados que de mostram no painel do Dashboard em forma de indicadores e métricas.

SandaS CA é normalmente instalado na mesma rede local SIEM, já que requer acesso direto a ele. Dispõe de um SDK de integração para construir conectores que permitem a integração com o SIEM, onde já estão desenvolvidos conectores para os SIEMs de AlienVault, HP ArcSight e Intel Security.

Uma vez detectado um incidente, o próximo passo é para categoriza-lo de uma forma homogênea, atribuindo uma criticidade de acordo com a definição do cliente, segundo os elementos que são afetados, notificar os atores relevantes para o tratamento e resolução e executar ações de resolução ou de remediação. Para se cobrir todo o escopo de forma automática é que foi criado o SandaS RA.

SandaS RA implementa um fluxo de processamento que coleta os alertas e notificações em geral, e, dependendo das configurações de alerta e regras atribuídos pelo usuário (um operador SOC) se atribuiu uma categoria e uma criticidade. OS alertas repetidos são agrupados, para evitar a repetição das seguintes fases sem necessidade. Na sequência se realizam os processos de notificação que são configurados para esse alerta, que podem incluir a abertura de um caso em que o sistema SOC ou de ticketing do cliente, onde há envio de e-mail com planilhas configuráveis ou alertas SMS. Também é possível fazer chamadas para ações automáticas de remediação ou resolução, como bloqueios IPs ou URLs no firewall, IPS ou proxy web do cliente, quando são geridos a partir do mesmo SOC.

SandaS RA conta com interfaces para a integração com sistemas de notificação e conectores que implementam ações de resposta. Os alertas já categorizados e caso a informação dos tickets criados para rastrear incidentes são enviadas para nossa plataforma de Segurança Global, baseado em tecnologias de Big Data com produtos como Sinfonier, nossa tecnologia para a detecção de ameaças cibernéticas baseadas no processamento de informações em tempo real, para seu armazenamento e visualização de toda essa informação relevante como para à própria operação em um portal (SandaS dashboard), que mostra em tempo real a informação relevante de segurança: alertas, incidentes, tickets, SLAs e KPIs.

Com todos estes componentes, SandaS, permite acelerar e dar visibilidade completa de gestão que realiza um SOC nas tarefas de monitoração de segurança de uma organização, se tornando o pilar para a prestação de serviços de segurança gerenciados.