Para que serve a integração do Threat Intelligence em um SIEM?

Atores/ações mal-intencionadas são cada vez mais predominantes na Internet. Quem são eles? O que eles estão fazendo? Eles estão rondando sua rede?

As duas primeiras questões são respondidas pela Threat Intelligence (TI), a última pode ser fornecida por um SIEM que integre a TI em sua funcionalidade.

Mas espere, não compre ainda, tem mais, muito mais!

A Inteligência de Ameaças, quando combinada com o SIEM, pode:
• Validar regras de correlação e melhorar os alertas de base, aumentando a prioridade das regras que também apontam para fontes “más” relatadas pela TI
• Detectar informações próprias caixas, bots etc. que ligam para casa quando estão na sua rede
• Qualificam entidades relacionadas a um incidente com base nos dados de TI coletados (qual é o histórico deste IP?)
• Correspondência histórica de dados de registro históricos anteriores com dados atuais de TI
• Revise o histórico de TI anterior como contexto principal para eventos, alertas, incidentes revisados, etc.
• Ative ações automáticas devido ao melhor contexto disponível em feeds de TI de alta qualidade
• Execute relatórios de eficácia de TI em um SIEM (quanto TI leva a alertas e incidentes úteis?)
• Valide o IP de origem dos logs do servidor web para traçar o perfil dos visitantes e reduza o serviço para aqueles que aparecem em listas ruins (incomum)
e a batida continua…

Quer os benefícios do SIEM sem o trabalho pesado envolvido? SIEM pode ser para você.