EnCase ao Resgate: Visão Geral da Integração com EnCase: EnCase & Splunk

Uma das características mais poderosas do EnCase Cybersecurity é a habilidade de integrar o EnCase com outras ferramentas de segurança. As capacidades de resposta baseadas no contexto do EnCase Cybersecurity, ao juntar-se com a tecnologia de detecção e correlação de eventos de segurança que você já usa, entrega um fator multiplicador à sua habilidade de se acercar tanto como seja possível a um evento relacionado à segurança da informação. Mediante uma arquitetura baseada em um bus de serviço, o EnCase Cybersecurity pode ser configurado para entregar automaticamente uma visão completa e sem obstruções dos dispositivos no momento em que se recebe um alerta para facilitar uma variedade de necessidades da segurança da informação.

Para entregar um fluxo de trabalho de segurança completo desde a detecção até a resposta, o EnCase Cybersecurity se integra com os fornecedores líderes de tecnologias de detecção de ameaças e de sistemas de gerenciamento da informação e de eventos de segurança (SIEM), como HP ArcsSight, IBM Q1 Labs, FireEye, Sourcefire e outros. Quando estas integrações são usadas, o EnCase Cybersecurity entrega tanto às pequenas equipes de segurança TI como aos grandes centros de operações de segurança a validação e os detalhes que precisam dos hosts afetados praticamente em tempo real para entender completamente a natureza e o alcance de qualquer incidente, bem como para permitir uma rápida remediação.

Estas integrações podem entregar:

    •    Uma amplia gama de respostas automatizadas aos alertas gerados por outras ferramentas de segurança TI que tenham uma arquitetura de resposta.
        o    A capacidade de capturar o estado volátil da máquina (processos, memoria e registro) no momento em que se gerou o alerta ou uma análise de perfil do sistema para comparação com um estado confiável prévio já conhecido.
        o    A capacidade de buscar por valor de hash, ou inclusive a capacidade de busca de arquivos similares sem se basear no valor de hash.
        o    A capacidade de remediar automaticamente arquivos ou processos maliciosos, inclusive quando estão em uso.
    •    A capacidade de escalar os recursos de uma pequena equipe de resposta a incidentes mediante a validação de alertas para encontrar falsos positivos.

O artigo de hoje se focalizará nos casos de uso para a integração do EnCase com Splunk. O que é o Splunk? Splunk é uma ferramenta de segurança TI que captura, indexa e correlaciona dados em tempo real dentro de um repositório com capacidades de busca, a partir do qual pode gerar gráficos, reportes, alertas, painéis e visualizações.

EnCase pode integrar-se ao Splunk de duas maneiras. A primeira maneira fornece uma série de respostas aos alertas gerados pelo Splunk. A segunda maneira usa o Splunk para monitorar e auditar os dados do EnCase.

Integrando EnCase com os alertas e as ações de fluxo de trabalho do Splunk

Um alerta é uma ação provocada por uma busca guardada baseando-se nos resultados especificados da busca. Os alertas do Splunk comumente são usadas para gerar emails que avisam aos administradores sobre algum evento. Além disto, os alertas do Splunk também podem ser configurados de forma que condições específicas provenientes de outros sistemas possam acionar trabalhos no EnCase. Uma vista técnica a alto nível da integração tem este aspecto:

Os casos de uso para os alertas do Splunk podem incluir o seguinte:

    •    Um alerta gerado para cada tentativa de início de sessão falhada.
    •    Um alerta programado se se alcança ou excede um valor limite.
    •    Um alerta quando um CPU é utilizado a 100% durante um período de tempo especificado

Cada um destes exemplos de casos de uso de alertas poderia iniciar um tipo específico de trabalho no EnCase quando alguma condição é cumprida. EnCase poderia oferecer uma imagem instantânea de processos, memoria e registro em um cenário no qual algum CPU fique estancado a 100% de utilização ou fornecer uma visão diferencial para ver se uma conta de usuário tem iniciado sua sessão previamente na mesma máquina após uma tentativa falhada de início de sessão.

Exemplos adicionais de possíveis casos de uso durante a integração podem incluir qualquer dos seguintes:

    •    Comparar o estado atual de uma máquina com a representação de uma configuração aprovada
    •    Remediação automática de arquivos ou processos maliciosos
    •    Captura de artefatos da internet em máquinas selecionadas
    •    Busca de informação pessoal ou de dados de cartões de crédito
    •    Identificar qualquer processo ou arquivo que não faça parte de uma configuração de máquina autorizada

Tanto os painéis pré-configurados e os painéis personalizados do Splunk podem receber “Ações de Fluxo de Trabalho” (Workflow Actions) para criar respostas a eventos destacados que sejam acionáveis mediante um só clique. Estas ações podem ser executadas tanto internamente no Splunk como externamente no EnCase. Casos de uso para ações de fluxo de trabalho incluem:

    •    Lançar uma tarefa de imagem instantânea no EnCase
    •    Executar uma busca WHOIS baseando-se no endereço IP de um evento
    •    Produzir uma busca (mediante Google, Bing, Yahoo, etc.) de algum valor específico de um campo de algum evento
    •    Lançar buscas secundarias utilizando campos já obtidos de um vento

Utilizando Splunk para monitorar o EnCase e os eventos de EnCase

EnCase é um produto de nível corporativo com muitas características desenvolvidas especificamente para infraestruturas corporativas. Por exemplo, o Splunk pode ser usado para monitorar Logs de Eventos gerados por qualquer produto EnCase.

A funcionalidade de “Scripted Input” (introdução de entradas mediante script) também pode ser configurada para monitorar o estado próprio do EnCase. Isto pode usar-se para monitorar dados no EnCase, como:

    •    API de Serviços Web do ECC Cybersecurity de EnCase
    •    Bases de Datos ECC de EnCase

As Bases de Dados e a API de Serviços Web do ECC podem ser monitoradas no Splunk mediante um script personalizado que especifica que dados devem ser monitorados.

De forma similar ao EnCase Analytics, os painéis visuais do Splunk são extremadamente personalizáveis e podem ser usados como um lugar centralizado para a monitoração das atividades e dos logs do EnCase, além de muitos outros tipos de dados. Os painéis visuais vêm pré-configurados mas podem ser personalizados para satisfazer às necessidades comerciais particulares de qualquer cliente. Casos de uso para painéis visuais incluem:

    •    Monitoração dos Logs de Eventos do EnCase
    •    Estado do Sistema
    •    Seguimento da Investigação
    •    Análises de Objetivos e de Valores de Hash

Espero que este artigo do blog tenha lhe dado uma visão geral a alto nível de alguns dos casos de uso para o controle de riscos de TI e para o gerenciamento de TI que podem ser cobertos mediante a integração de EnCase com Splunk. Convidamos você a esclarecer suas dúvidas técnicas ou outras dúvidas específicas escrevendo ao endereço sales-latam@encase.com

TEMAS RELACIONADOS

Motor Criptográfico EnCase: Certificado FIPS 140-2 pelo NIST e o CSE

Faça parte do nosso Grupo de Usuários do EnCase em Português no LinkedIn

Guidance Software reconhecida pela Gartner como líder do mercado de ferramentas de detecção e resposta em dispositivos

Curta a Nossa Página em Português no Facebook

EnCase ao Resgate

Visão Geral da Integração com EnCase: EnCase & Splunk

No comments :

Post a Comment

We're Here to Help

Connect With Us

Tags

Popular

Archive