Mejora la seguridad remota de los endpoints con la integración de Vectra y Crowdstrike

Tabla de contenido

1. Introducción
2. ¿Qué es el Endpoint Detection and Response (EDR)?
3. La importancia de la seguridad de los endpoints en entornos de trabajo remotos
4. Combinando las capacidades de EDR de Crowdstrike con la detección y respuesta de Vectra
5. Cómo habilitar la integración entre Crowdstrike y Vectra
6. Obtener información detallada de los hosts con Vectra Detect
7. Aislamiento de hosts y bloqueo manual
8. Bloqueo automático de hosts y su configuración
9. Escenarios de uso ideales para el bloqueo automático de hosts
10. Conclusiones

Endpoint Detection and Response (EDR): Mejorando la seguridad de los endpoints en entornos remotos

La seguridad de los endpoints ha sido un aspecto crítico para las empresas durante muchos años. Con la creciente cantidad de usuarios que trabajan de forma remota y utilizan diferentes tipos de dispositivos para acceder a los recursos corporativos, es aún más importante garantizar la protección de estos endpoints. Es aquí donde entra en juego el Endpoint Detection and Response (EDR).

¿Qué es el Endpoint Detection and Response (EDR)?

El Endpoint Detection and Response (EDR) es una tecnología de seguridad que se utiliza para detectar, investigar y responder a amenazas en los endpoints de una organización. Esta solución permite a los equipos de seguridad identificar de manera rápida y precisa las actividades maliciosas en los dispositivos utilizados por los empleados.

En entornos de trabajo remotos, donde los usuarios acceden a recursos corporativos desde diferentes ubicaciones y dispositivos, el EDR se vuelve aún más crucial. Los endpoints pueden estar ubicados en la nube, en instalaciones locales o en entornos híbridos, lo que aumenta la complejidad y los desafíos de seguridad.

La importancia de la seguridad de los endpoints en entornos de trabajo remotos

Con el aumento del trabajo Remoto, es fundamental asegurar los endpoints utilizados por los empleados para acceder a recursos corporativos. Los ciberdelincuentes aprovechan las vulnerabilidades de los endpoints para llevar a cabo ataques maliciosos, robar información confidencial o interrumpir las operaciones empresariales.

Para abordar esta creciente amenaza, muchas organizaciones han optado por combinar las capacidades de EDR de Crowdstrike con la detección y respuesta de Vectra. Esta integración mejora la visibilidad más allá del endpoint y fortalece la postura de seguridad general en entornos de usuarios dinámicos.

Combinando las capacidades de EDR de Crowdstrike con la detección y respuesta de Vectra

La combinación de Crowdstrike EDR y Vectra Threat Detection and Response proporciona a los equipos de seguridad una mayor visibilidad y capacidad de respuesta frente a amenazas. Con esta integración, los analistas pueden identificar y analizar los hosts en la red, obteniendo información valiosa como el nombre del host, dirección IP, sistema operativo y marca de tiempo de la última actividad.

Cómo habilitar la integración entre Crowdstrike y Vectra

Habilitar la integración entre Crowdstrike y Vectra es un proceso sencillo y directo. En la interfaz de usuario de Vectra Detect, simplemente se debe hacer clic en el botón "editar" y activar el interruptor de encendido/apagado. Luego, se deberá ingresar el ID y la clave secreta del cliente de Crowdstrike, y hacer clic en "guardar". Con estos pasos, la integración estará activa y Vectra Detect comenzará a extraer datos de EDR de los hosts.

Obtener información detallada de los hosts con Vectra Detect

Vectra Detect ha optimizado el flujo de trabajo de las investigaciones de seguridad al permitir a los analistas cambiar fácilmente entre la interfaz de Vectra Detect y la consola de Crowdstrike EDR. Esto facilita la correlación de señales entre el EDR y la detección y respuesta de red (NDR), agilizando así el proceso de investigación.

Durante una investigación, Vectra Detect muestra información detallada de los hosts que aparecen en la red, lo que permite a los analistas tomar decisiones rápidas y responder a amenazas confirmadas. Los datos de los hosts incluyen el nombre, dirección IP, sistema operativo, marca de tiempo de la última actividad y estado de aislamiento.

Aislamiento de hosts y bloqueo manual

Cuando se confirma una amenaza, es fundamental poder aislar los hosts afectados de forma rápida y eficiente. Vectra Detect ofrece la función de bloqueo de hosts, que utiliza la integración nativa de Crowdstrike EDR para permitir a los analistas realizar el aislamiento directamente desde la interfaz de Vectra Detect.

El bloqueo manual de hosts se realiza desde la página de detalles del host en Vectra Detect. Simplemente se debe hacer clic en el botón "bloquear host" y especificar la duración del bloqueo. Una vez realizado el bloqueo, se registrará la acción junto con el nombre del usuario y la marca de tiempo.

Bloqueo automático de hosts y su configuración

Otra forma de aprovechar las capacidades de aislamiento de hosts es a través del bloqueo automático. Esta función permite una respuesta automatizada las 24 horas del día, los 7 días de la semana, basada en criterios definidos por el usuario.

Para habilitar el bloqueo automático, se debe activar el interruptor de encendido/apagado y establecer el umbral de activación. Este umbral se basa en señales de Alta fidelidad, que incluyen la certeza de la amenaza y la puntuación de privilegios observados. Cuando se cumplen todas estas condiciones, Vectra Detect enviará una señal a Crowdstrike EDR para aislar el host durante la ventana de configuración establecida.

Escenarios de uso ideales para el bloqueo automático de hosts

El bloqueo automático de hosts es especialmente útil en escenarios donde el equipo de seguridad puede estar sobrecargado de trabajo o durante las horas fuera de servicio. Esta capacidad permite tener una respuesta automatizada y continua ante posibles amenazas, garantizando la protección de los endpoints en todo momento.

Conclusiones

La seguridad de los endpoints se ha vuelto más importante que nunca en entornos de trabajo remotos. La combinación de las capacidades de EDR de Crowdstrike y la detección y respuesta de Vectra proporciona a las organizaciones una mayor visibilidad y capacidad de respuesta ante amenazas. La integración fluida entre las dos soluciones permite a los analistas obtener información detallada de los hosts, aislarlos manual o automáticamente y fortalecer la postura de seguridad en entornos dinámicos de usuarios.

Aproveche al máximo la integración nativa de Crowdstrike EDR y Vectra en su flujo de trabajo. ¡Buena suerte y feliz caza!

FAQ

Q: ¿Cómo habilitar la integración entre Crowdstrike y Vectra?
R: Para habilitar la integración entre Crowdstrike y Vectra, simplemente haga clic en el botón "editar" en la interfaz de Vectra Detect y active el interruptor de encendido/apagado. Luego, ingrese el ID y la clave secreta del cliente de Crowdstrike y haga clic en "guardar".

Q: ¿Qué información se muestra de los hosts en Vectra Detect?
R: Vectra Detect muestra información detallada de los hosts en la red, incluyendo el nombre, dirección IP, sistema operativo, marca de tiempo de la última actividad y estado de aislamiento.

Q: ¿Cómo se realiza el bloqueo manual de hosts?
R: El bloqueo manual de hosts se realiza desde la página de detalles del host en Vectra Detect. Simplemente haga clic en el botón "bloquear host" y especifique la duración del bloqueo.

Q: ¿Cuándo es recomendable utilizar el bloqueo automático de hosts?
R: El bloqueo automático de hosts es recomendable en escenarios donde el equipo de seguridad puede estar sobrecargado de trabajo o durante las horas fuera de servicio, ya que proporciona una respuesta automatizada y continua ante posibles amenazas.

Q: ¿Cómo garantizar la protección de los endpoints en entornos de trabajo remotos?
R: Combinar las capacidades de EDR de Crowdstrike con la detección y respuesta de Vectra es una forma efectiva de garantizar la protección de los endpoints en entornos de trabajo remotos. Esta integración proporciona una mayor visibilidad y capacidad de respuesta ante amenazas.