Según IDC, «la inteligencia sobre amenazas es un componente fundamental de un programa moderno de ciberseguridad. Los programas de inteligencia sobre amenazas proporcionan evaluaciones cualitativas y soluciones procesables y automatizadas que refuerzan las defensas de seguridad existentes». Para las empresas, también es importante incorporar sin problemas la TI a sus operaciones de seguridad para obtener la protección más eficaz contra las ciberamenazas.
El acceso a Kaspersky TI a través de Microsoft Sentinel permite a las empresas disponer de la información más reciente para contrarrestar los ciberataques. El contexto procesable en los feeds incluye nombres de amenazas, marcas de tiempo, geolocalización, direcciones IP resueltas de recursos web infectados, hashes, popularidad u otros términos de búsqueda. Con estos datos, los equipos de seguridad o los analistas del SOC pueden acelerar el triaje inicial de las alertas tomando decisiones informadas para la investigación o el escalado a un equipo de respuesta a incidentes.
Las fuentes de datos sobre amenazas de Kaspersky se generan automáticamente en tiempo real y agregan datos de alta calidad procedentes de múltiples fuentes fiables de todo el mundo. Esto incluye la Red de Seguridad de Kaspersky que cubre millones de participantes voluntarios a nivel global[1], el servicio de Monitorización de Botnets, trampas de spam, además de expertos de Kaspersky de renombre mundial de los equipos de GReAT e I+D. Todos los datos son cuidadosamente inspeccionados y refinados con técnicas de preprocesamiento específicas.
Microsoft Sentinel utiliza el protocolo TAXII y recibe feeds de datos en formato STIX, por lo que permite configurar Kaspersky Threat Data Feeds como fuente de TAXII Threat Intelligence en la interfaz. Una vez importado, los equipos de ciberseguridad pueden utilizar reglas analíticas listas para usar para cotejar los indicadores de amenazas de los feeds con los registros.
«Estamos encantados de asociarnos con Microsoft y de ayudar a los usuarios de Microsoft Sentinel a acceder a la fiable y valiosa inteligencia sobre amenazas de Kaspersky. La ampliación de la integración con los controles de seguridad de terceros facilita aún más a los clientes la operatividad de nuestra TI, que es una de nuestras principales prioridades. La TI de Kaspersky está diseñada para adaptarse a las necesidades de cualquier organización, ya que recopilamos datos de un gran número de fuentes diferentes y diversas para cubrir organizaciones en sectores específicos, geolocalizaciones y con paisajes de amenazas específicos. Más de dos décadas de investigación sobre amenazas nos ayudan a conseguirlo, al tiempo que dotan a los equipos de seguridad globales de la información que necesitan en cada paso del ciclo de gestión de incidentes», comenta Ivan Vassunov, vicepresidente de productos corporativos de Kaspersky.
«Los ataques de amenazas están en continuo aumento, ahora más que nunca, y para permanecer protegidas, las organizaciones necesitan formas rápidas de detectar estas amenazas. Con la integración de Kaspersky y Microsoft Sentinel, los clientes tendrán ahora una forma fácil de importar inteligencia de amenazas de alta fidelidad producida por Kaspersky a Microsoft Sentinel utilizando el estándar de la industria de STIX/TAXII para las detecciones, la caza, la investigación y la automatización», dice Rijuta Kapoor, Gerente de Programa Senior, Microsoft.
[1] Kaspersky Security Network (KSN) es una compleja infraestructura en la nube que funciona con varios componentes de protección antimalware. Las estadísticas consisten en metadatos despersonalizados proporcionados voluntariamente por los participantes de KSN entre los clientes de Kaspersky.