Potencia tu seguridad con TruSTAR y Splunk Enterprise Security

Potencia tu seguridad con TruSTAR y Splunk Enterprise Security

Contenido

1. Introducción
2. ¿Qué es la aplicación TruSTAR Unified?
3. Integración de TruSTAR con Splunk Enterprise y Enterprise Security
4. Descarga de la aplicación TruSTAR Unified
5. Capacidades ofrecidas por la aplicación TruSTAR Unified
6. Uso de TruSTAR con Splunk Enterprise Security
7. Configuración de la aplicación TruSTAR para descargar observables
8. Enriquecimiento automático de eventos notables con TruSTAR
9. Visualización de resúmenes de TruSTAR en eventos notables
10. Envío de datos a TruSTAR y su uso para enriquecimiento futuro
11. Conclusiones

🚀 ¿Qué es la aplicación TruSTAR Unified?

La aplicación TruSTAR Unified es una integración que combina las capacidades de TruSTAR con las implementaciones de Splunk Enterprise y Enterprise Security. Esta poderosa herramienta permite a los clientes de Splunk aprovechar las funcionalidades de TruSTAR para detectar, investigar y diseminar amenazas de forma más eficiente.

🔄 Integración de TruSTAR con Splunk Enterprise y Enterprise Security

La integración de TruSTAR con Splunk Enterprise y Enterprise Security se realiza a través de la aplicación TruSTAR Unified. Esta aplicación está disponible para aquellos clientes de Splunk que cuenten con una implementación de Splunk en la nube o en local, con una versión igual o superior a 7.2.

⬇ Descarga de la aplicación TruSTAR Unified

La descarga de la aplicación TruSTAR Unified se realiza directamente desde la plataforma de Splunk, en su base de aplicaciones. Los clientes de Splunk Enterprise y Enterprise Security pueden acceder a la descarga en el sitio web de Splunk.com.

✔ Capacidades ofrecidas por la aplicación TruSTAR Unified

Las capacidades ofrecidas por la aplicación TruSTAR Unified dependen de la oferta de Splunk que el cliente posea. La oferta más completa es Enterprise Security, que permite aprovechar al máximo todas las capacidades disponibles en TruSTAR: detección, evaluación y diseminación de amenazas. Splunk permite descargar automáticamente observables de grupos de intercambio, fuentes premium y fuentes de código abierto seleccionadas, mejorando así la detección de amenazas en la plataforma.

Con Splunk Enterprise Security, los clientes pueden enriquecer y priorizar eventos relevantes recibiendo datos adicionales de sus enclaves de TruSTAR. La aplicación de TruSTAR actualizará automáticamente la importancia de los eventos en función de la puntuación normalizada proveniente de todas las fuentes que hayan encontrado coincidencias.

💡 Uso de TruSTAR con Splunk Enterprise Security

Imaginemos cómo un analista de seguridad podría utilizar la aplicación TruSTAR Unified junto a Splunk Enterprise Security. Para aprovechar las funcionalidades de TruSTAR durante la detección de amenazas, se debe configurar la aplicación para descargar observables creando una nueva entrada dentro de la plataforma de Splunk. Esta configuración permite seleccionar enclaves específicos desde donde se descargarán los datos, filtrarlos según su tipo o etiquetas existentes y establecer una fecha de caducidad para la información descargada.

Se pueden crear múltiples entradas para cumplir con diferentes requisitos, y todas estas aportarán datos a los repositorios de inteligencia de amenazas de Splunk. Una vez configuradas las entradas, los observables descargados se pueden visualizar en la aplicación de búsqueda y generación de informes.

En el caso de eventos notables, la aplicación TruSTAR permite enriquecerlos automáticamente con información proveniente de los enclaves de TruSTAR. Este proceso de enriquecimiento se puede realizar de forma automática o manual a través de acciones de respuesta adaptativa. Durante el enriquecimiento, la importancia de los eventos notables se actualizará si los datos recibidos indican una amenaza más Alta que la marcada actualmente en el sistema.

Además, se pueden visualizar resúmenes de TruSTAR en los eventos notables, que muestran las herramientas que informaron el observable, su calificación y la puntuación normalizada asignada por TruSTAR. Si se requiere una investigación adicional, se proporciona un enlace al informe completo en TruSTAR.

Una vez que se ha investigado un evento notable, se puede utilizar la opción de envío de TruSTAR bajo las acciones de respuesta adaptativa para diseminar los datos a otras herramientas o equipos que podrían beneficiarse de ellos. Los datos enviados a TruSTAR también se pueden utilizar para enriquecer eventos futuros, lo que permite a los analistas de seguridad saber cuando se ha encontrado previamente una amenaza.

En resumen, la aplicación TruSTAR Unified para Splunk Enterprise y Enterprise Security mejora significativamente las capacidades de detección, investigación y diseminación de amenazas. Permite a los analistas de seguridad aprovechar la inteligencia de amenazas de TruSTAR para tomar decisiones más informadas y colaborar de manera más efectiva con otros equipos.

¡Visita nuestro sitio web para obtener todos los detalles sobre cómo empezar a acelerar tus investigaciones con la aplicación TruSTAR Unified para Splunk Enterprise y Enterprise Security!

✔ Conclusiones

La integración de TruSTAR con Splunk Enterprise y Enterprise Security a través de la aplicación TruSTAR Unified ofrece a los clientes la posibilidad de aprovechar al máximo las capacidades de ambas plataformas. La combinación de estas herramientas permite una detección de amenazas más efectiva, una evaluación más rápida y precisa de eventos notables, y una diseminación de datos más eficiente hacia otras herramientas y equipos de seguridad. No pierdas la oportunidad de mejorar tus investigaciones y fortalecer tu postura de seguridad con TruSTAR y Splunk Enterprise Security.

🔗 Recursos

• Splunk website
• TruSTAR website