La imagen tiene un atributo ALT vacío; su nombre de archivo es Infoblox-Azure-Sentinal-1.png

Con los años, las organizaciones comenzaron a armar una pila de seguridad como parte de su estrategia de defensa en profundidad. Cada herramienta se creó para abordar un vector de amenaza específico. Sin embargo, estas herramientas no se comunicaron entre sí ni compartieron datos fácilmente, lo que obligó a los equipos de operaciones de seguridad a recopilar manualmente la información necesaria para correlacionar los eventos. 

Microsoft ha anunciado una docena de nuevos conectores que recopilan automáticamente datos de varias soluciones de seguridad líderes, incluido Infoblox, en Azure Sentinel. Estos conectores ayudan a los equipos de seguridad a recopilar y analizar datos de varias fuentes mucho más rápido, lo que reduce el tiempo de reparación. 

La visibilidad es clave para las operaciones de seguridad

El primer lugar para comenzar a abordar los desafíos operativos es con la visibilidad. Necesita una plataforma que proporcione una visibilidad ubicua de todo lo que está en la red: recursos físicos, virtuales, en la nube, de sucursal y de IoT. Para ayudar a comprender la gravedad de la red y los eventos de seguridad, es clave aprovechar el contexto de la red. El contexto de red incluye cosas como la importancia crítica del activo comprometido, la ubicación del activo, el registro de auditoría y el historial de los destinos accedidos.

Su plataforma DDI (DNS, DHCP e IPAM) sabe, en cualquier momento dado, qué dispositivos hay en su red. Esto se debe a que cada vez que un dispositivo se une a una red, lo primero que hará es solicitar una dirección IP al servidor DHCP. El servidor DHCP también puede identificar las características del dispositivo (tipo de dispositivo, sistema operativo, versión) en función de la solicitud inicial de DHCP. Esta información se recopila y se coloca en una base de datos (IPAM). También se pueden recopilar datos de descubrimiento adicionales para aumentar aún más la información del dispositivo (por ejemplo, nombre de usuario, puerto de conmutación, punto de acceso, ubicación física). Toda esta información se vuelve realmente importante si tiene que realizar una investigación basada en una dirección IP. 

Valor de DNS, DHCP para un SIEM para correlación de amenazas y búsqueda

Los datos DHCP / DNS son una mina de oro que se puede aprovechar en un SIEM, como Azure Sentinel, para ayudar a acelerar la correlación de amenazas y la caza. 

Correlación de eventos: sin datos de DHCP, es difícil correlacionar eventos dispares relacionados con el mismo dispositivo bajo investigación, especialmente en entornos dinámicos. Los servidores DHCP son responsables de asignar direcciones IP que se utilizan para identificar los dispositivos específicos involucrados en eventos de seguridad. Una asignación de DHCP señala la inserción de un dispositivo en la red y, por lo tanto, es una pista de auditoría de dispositivos en la red.

Alcance de la violación: los datos de consulta DNS proporcionan un registro de actividad «centrado en el cliente». Esto incluye la actividad interna dentro del perímetro de seguridad, BYOD y dispositivos IoT y proporciona una base excelente para crear perfiles de actividad del dispositivo y del usuario. Sin DNS y DHCP, los equipos de operaciones pueden tener una visibilidad limitada de los recursos a los que ha estado accediendo un cliente. DNS proporciona una pista de auditoría universal de servicios y recursos a los que ha accedido recientemente.

Al usar el conector Infoblox, los usuarios de Azure Sentinel pueden obtener acceso rápido y fácil a esta mina de oro de datos, analizar y correlacionar la información y responder a eventos de manera más eficiente.