Microsoft y Kaspersky han lanzado una colaboración que verá las fuentes de datos de amenazas en tiempo real automatizadas de Kaspersky integradas en la solución SIEM/SOAR nativa de la nube de Microsoft, Sentinel.
Los socios dijeron que el acuerdo brindará a los usuarios de Sentinel un “contexto procesable” para la investigación de incidentes o ataques, ampliando las capacidades de detección de amenazas y aumentando la efectividad de la clasificación de alertas, la búsqueda de amenazas o la respuesta a incidentes.
Entre los nuevos puntos de datos disponibles estarán nombres de amenazas, marcas de tiempo, geolocalización, direcciones IP resueltas de recursos web infectados, hashes, popularidad y otros términos de búsqueda.
Con estos datos a mano, los equipos de seguridad o los analistas del centro de operaciones de seguridad (SOC) pueden tomar decisiones mejor informadas para investigar o escalar, acelerando el tiempo que tarda un incidente cibernético impactante en pasar de la alerta a la respuesta al incidente.
“Estamos encantados de asociarnos con Microsoft y ayudar a los usuarios de Microsoft Sentinel a obtener acceso a la valiosa y confiable información sobre amenazas de Kaspersky”, dijo Ivan Vassunov, vicepresidente de productos corporativos de Kaspersky. “Ampliar la integración con controles de seguridad de terceros hace que sea aún más fácil para los clientes poner en funcionamiento nuestra inteligencia de amenazas. [TI]que es una de nuestras principales prioridades.
“TI de Kaspersky está diseñado para adaptarse a las necesidades de cualquier organización, ya que recopilamos datos de una gran cantidad de fuentes diferentes y diversas para cubrir organizaciones en industrias específicas, geolocalizaciones y con panoramas de amenazas específicos.
“Más de dos décadas de investigación de amenazas nos ayudan a lograr esto, al tiempo que capacitan a los equipos de seguridad globales con la información que necesitan en cada paso del ciclo de gestión de incidentes”.
Rijuta Kapoor, gerente sénior de programas en Microsoft, agregó: “Los ataques de amenazas aumentan continuamente como nunca antes y para permanecer protegidas, las organizaciones necesitan formas rápidas de detectar estas amenazas.
“Con la integración de Kaspersky y Microsoft Sentinel, los clientes ahora tendrán una manera fácil de importar inteligencia de amenazas de alta fidelidad producida por Kaspersky en Microsoft Sentinel utilizando el estándar de la industria de expresión de información de amenazas estructuradas. [Stix] e intercambio automatizado de información de inteligencia confiable [Taxii] para detecciones, caza, investigación y automatización.”
El uso de los estándares abiertos Stix y Taxii dentro de Sentinel permite la configuración de la fuente de datos de Kaspersky como una fuente de inteligencia de amenazas de Taxii en la interfaz, lo que significa que los equipos de seguridad pueden usar reglas analíticas listas para usar para hacer coincidir los indicadores de amenazas con los registros.
Las fuentes de datos en sí mismas se generan automáticamente en tiempo real y agregan datos de múltiples fuentes, incluida la red de seguridad de Kaspersky, que compromete a millones de participantes voluntarios; su servicio de monitoreo de botnets, trampas de spam y la experiencia del equipo de Investigación y Análisis Global (GReAT) de Kaspersky; y sus operaciones de investigación y desarrollo.
