Kaspersky aggiorna il suo SIEM: l’AI indica la priorità degli avvisi

L’upgrade include un nuovo modulo AI per gestire più rapidamente gli alert, migliora la visibilità delle interdipendenze delle risorse ed estende le capacità di ricerca

Kaspersky ha annunciato un importante aggiornamento della sua soluzione SIEM (Security Information and Event Management), che include un nuovo modulo AI per una gestione più rapida ed efficace degli avvisi, migliora la visibilità delle interdipendenze delle risorse, ed estende le capacità di ricerca.

Secondo Verified Market Research, il mercato globale SIEM a fine 2024 valeva 5,2 miliardi di dollari, e praticamente raddoppierà (10,1 miliardi) entro il 2031, perché le aziende sono alla ricerca di soluzioni per raccogliere e analizzare i dati in tempo reale.

Kaspersky SIEM, spiega un comunicato, è una piattaforma SOC (Security Operations Center) basata su una tecnologia AI-powered e supportata da una delle migliori Threat Intelligence a livello mondiale. La piattaforma raccoglie i log data e li arricchisce con informazioni di contesto e threat intelligence, fornendo le informazioni necessarie per individuare e rispondere agli incidenti. Inoltre consente risposte automatiche agli avvisi e supporta le attività di ricerca delle minacce.

Nuovo modulo AI

Kaspersky SIEM integra un nuovo modulo AI per ottimizzare la classificazione di avvisi e incidenti analizzando i dati storici. Il sistema di risk scoring degli asset basato sull’AI fornisce ipotesi utili per attività di ricerca proattiva. Questo modulo analizza come le caratteristiche di una particolare attività siano correlate a diversi asset (workstation, virtual machine, cellulari, ecc.). Quando il sistema rileva un avviso, a seguito di una correlazione di eventi insolita per l’asset coinvolto, questa segnalazione viene evidenziata con una priorità maggiore nell’interfaccia, indirizzando rapidamente gli analisti sugli incidenti che richiedono un intervento immediato.

Raccolta dei dati dall’agente Kaspersky Endpoint Security

In precedenza, per raccogliere i dati dalle workstation Windows o Linux, occorreva installare un agente SIEM su ciascun dispositivo o configurare la trasmissione dei dati a un host intermediario, e il relativo scambio di dati con il SIEM. Con questo aggiornamento di Kaspersky SIEM, se l’agente Kaspersky Endpoint Security è già installato sull’host, può inviare direttamente i dati al sistema SIEM. Questo permette di eliminare la fase di installazione e monitoraggio di agenti SIEM separati sugli endpoint che già utilizzano i prodotti Kaspersky.

Grafico delle interdipendenze delle risorse e funzioni di ricerca ampliate

Nella piattaforma sono state migliorate anche le capacità di ricerca, che consentono di visualizzare come le risorse (come filtri, regole, elenchi) sono collegate tra loro. Un grafico delle interdipendenze delle risorse, con una struttura gerarchica a cartelle, facilita l’individuazione delle query di ricerca corrette, anche per i team numerosi o per le ricerche multiple archiviate.

Versioni dei contenuti

Kaspersky SIEM memorizza la cronologia delle modifiche alle risorse sotto forma di versioni. Ogni volta che un analista crea una nuova risorsa o modifica i parametri di una risorsa esistente, viene automaticamente generata una versione. Questa funzionalità facilita la collaborazione nei team, consentendo ad esempio di visualizzare le modifiche apportate da un collega a una regola di correlazione e, se necessario, di annullarle.

Mappatura univoca dei campi

Con la piattaforma aggiornata, gli analisti possono ora aggiungere a un evento di correlazione una serie di valori di campo specifici. Questo consente di risparmiare tempo, eliminando la necessità di cercare i valori di campo negli eventi sottostanti.
Inoltre Kaspersky SIEM consente di aggiungere valori di campo specifici a un’eccezione, nel caso in cui un avviso venga identificato come falso positivo. Ogni regola di correlazione genera un elenco separato di eccezioni, permettendo agli analisti di concentrarsi sugli avvisi critici e ridurre il “rumore” generato dalle regole.

“Il SIEM è uno degli strumenti principali per i team SOC e i dipartimenti di sicurezza IT, per questo ci impegniamo costantemente per rendere la nostra piattaforma sempre più accessibile. Grazie a queste nuove funzionalità, le aziende possono reagire agli eventi in modo più rapido e con minori risorse. Abbiamo inoltre arricchito Kaspersky SIEM con elementi di collegamento a fonti di eventi e regole di correlazione. Oggi le nostre regole ‘out-of-the-box’ coprono già oltre 400 tecniche della matrice MITRE ATT&CK, supportando quasi 300 fonti”, dichiara nel comunicato Ilya Markelov, Head of Unified Platform Product Line di Kaspersky.


A cura della redazione

Office Automation è da 38 anni il mensile di riferimento e canale di comunicazione specializzato nell'ICT e nelle soluzioni per il digitale, promotore di convegni e seminari che si rivolge a CIO e IT Manager e ai protagonisti della catena del val...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 199

Officelayout

Progettare arredare gestire lo spazio ufficio
Ottobre-Dicembre
N. 199

Abbonati
Innovazione.PA n. 58

innovazione.PA

La Pubblica Amministrazione digitale
Novembre-Dicembre
N. 58

Abbonati
Executive.IT n.6 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Novembre-Dicembre
N. 6

Abbonati