Saqqara - Correlación Avanzada de Eventos de Seguridad

10/21/2011 11:19:00 a. m. No Comment
AlienVault ha firmado un acuerdo con Telefónica I+D para el lanzamiento de un nuevo software denominado Saqqara, un módulo que amplía las capacidades de correlación avanzada de AlienVault Unified SIEM a través de la aplicación de inteligencia artificial. Se trata de una aplicación independiente del SIEM, pero integrado con el mismo: las alarmas generadas se envían al SIEM y se utiliza la base de datos de eventos del SIEM para ser evaluado por redes neuronales.

SIEM (Security Information and Event Management) es un sistema de gestión de log (registros de seguridad) de los Sistema, que permite la agregación, mantenimiento, correlación, cuadro de mando, etc. Es un sistema que facilita la revisión de los eventos de seguridad, detecta amenazas mediante la correlación de los mismos, y permite tomar decisiones mediante su Cuadro de Mando.

El SIEM de AlienVault se basa en OSSIM (Open Source SIEM) que tiene su versión community y puede ser libremente descargada aquí.

Gracias a SAQQARA no habrá necesidad de establecer reglas de correlación previamente sino que se establecerán determinados comportamientos. Igualmente, contará con la capacidad de añadir nuevos patrones en la base de conocimiento, actualizar la base de datos ante falsos positivos/negativos, detectar incidentes no contemplados previamente y ejecutar un reentrenamiento periódico para incluir el conocimiento aportado por los nuevos patrones. La herramienta también tiene la capacidad de detectar comportamientos repetidos. Es decir, en caso de que existan determinadas clases de eventos que se produzcan con cierta frecuencia, Saqqara generará una alarma para informar de dicha situación.

Esta noticia, será muy bien recibida una vez el proyecto sea una realidad, la potencia de las herramientas de correlación necesitaban un modulo que introduciera "inteligencia artificial" para minimizar las tareas de "tunning" y puesta a punto de estas herramientas. 


Se suele decir que si no conoces lo que esta pasando en tu Organización no sabes que es lo que tienes que hacer ante una intrusión, y las herramientas tipo SIEM, viene a ayudar a la Organización a "conocer" que esta ocurriendo, respecto a la Seguridad Informática, en sus Sistemas. Y si no, reflexionar sobre ¿Cómo se que mi sistema de protección perimetral hace su trabajo correctamente? Respuesta, examinando los evento de seguridad que se originan.

Os dejo un vídeo para que conozcaís (para aquellos que no la conozcan) el SIEM de AlienVault (OSSIM Edición Profesional).



Tags
Julian J. Gonzalez

Telecommunication Engineer specialized in Networks and Computer Security. Professor of the Master IT Security at the University of Seville since 2013 (http://trajano.us.es/seguridadtic/). Develop skill #Python #DevSecOps #Golang check my Github.

0 comentarios:

Publicar un comentario

Designed with by Way2themes | Distributed by Blogspot Themes