Centralize e gerencie todos os alarmes e incidentes do seu ambiente com integrações automáticas aos principais SIEM’s do mercado, adicionando enriquecimento de dados através de APIs interligadas ao RIS, integração entre times, handbooks e playbooks

A solução

A Redbelt Security desenvolveu o Módulo de Incidentes do RIS no início de 2016 quando se deparou com a dor de clientes que já utilizavam outros provedores de MSS e SOC e não possuíam uma plataforma para centralizar a gerenciar seus alarmes e incidentes. A maioria das comunicações eram feitas apenas por e-mail ou sistemas que não tem como objetivo o gerenciamento de alarmes e incidentes, como o Jira ou outro.

Ao decorrer dos anos, o RIS em conjunto com o Módulo de Incidentes se tornou uma ferramenta completa no monitoramento e resposta a incidentes, o principal grande avanço ocorreu em 2018 com a conexão automática do RIS aos principais SIEMs do mercado (IBM QRadar, Splunk e Azure Sentinel), onde a coleta e espelhamento de tudo o que ocorre no RIS ocorre no SIEM e vice-versa. Essa foi a primeira ação na redução do tempo de resposta.

Dessa forma conseguimos conectar o RIS a outras soluções de Threat Intelligence com foco em ameaças de segurança, como IBM X-Force Exchange, Talos Intelligence da CISCO, Trend Micro Reputation e dentre outras, auxiliando os profissionais na rápida classificação de um determinado alarme identificando se ele é de fato um evento real ou um falso-positivo, com uma grande segunda ação para redução no tempo de resposta e acuracidade dos dados.

Com foco sempre na excelência técnica, incluímos em todos os alarmes o que chamamos de Tasks, tarefas que seguem a risca a metodologia do SANS Institute baseado nas 6 etapas de uma resposta a incidentes e identificação e coleta automática dos “agentes” dentro de um log, nome que damos aos hosts de origem, destino, ofensor, data e outras informações importantes na análise, gerando indicadores e dados gerenciais que elevam uma simples resposta a incidentes. Atualmente todos os clientes de MSS SOC da Redbelt Security utilizam o RIS como principal ferramenta, integrada com uma solução de SIEM implementada pelo nosso time. Confira abaixo outras funcionalidades e indicadores:

Dashboard com indicadores de todos os alarmes do ambiente, os que estão abertos, em andamento  e corrigidos, dividindo-os por criticidade.

Mapa geográfico exibindo em tempo real os ataques que estão ocorrendo no ambiente, mostrando origem, destino, criticidade e outras informações.

Top alarmes que ocorreram em seu ambiente, identificando rapidamente quais são os 5 principais ofensores e os hosts afetados, por criticidade.

Top hosts  de seu ambiente, exibindo a quantidade total de alarmes por host afetado, único com a visão por criticidade dos alarmes.

Gráficos exibindo os principais IPs atacantes e os principais tipos de alarmes, com curva de tendência para previsão de ataques futuros.

Sistema de tickets e chat interno para tirar dúvidas em tempo real com a equipe da Redbelt Security ou direcionar o alarme para algum time interno da sua empresa tomar ação.

Metodologia SANS aplicada em todos os alarmes e incidentes, com coleta de evidências em cada etapa, duração de tempo de cada atividade para avaliar SLA e captura e identificação automática dos agentes daquela ofensa.

Dashboard gerencial contendo o SLA de todos os alarmes e incidentes tratados, para avaliar o tempo de resposta do time da Redbelt Security e do seu time interno.

Notificação automática por e-mail, SMS ou ligação de acordo com a sua customização para determinados tipos de incidentes ou por criticidade.

Toda segunda-feira envio automático por e-mail do resumo da semana, em formato PDF contendo informações sobre os alarmes e suas criticidades, SLA de atendimento, possíveis incidentes e outras informações gerenciais.