SGBox ha rilasciato la versione 5 della sua piattaforma di detect and response, con numerose novità e funzionalità dedicate. La release consente di sfruttare al massimo la piattaforma di Security Information and Event Management dell’azienda italiana, specializzata nello sviluppo e gestione di sistemi SIEM.
La release integra un back-end completamente ridisegnato per offrire un incremento delle performance di accesso e storicizzazione dei dati. In particolare, il sistema offre ora una nuova modalità di organizzazione dei log raw e degli eventi mediante strumenti di gestione avanzata dei dati, senza però rinunciare alle funzionalità di protezione (cifratura, firma e timestamping) delle informazioni.
Il nuovo backend consente di ottenere un aumento delle performance nell’estrazione e nell’analisi, anche operando su centinaia di milioni di eventi. Introdotta anche una funzionalità di riconoscimento automatico e configurazione delle fonti dati note, per minimizzare il processo di setup iniziale e di aggiornamento delle configurazioni.
SGBox detect and response, le nuove funzionalità
La nuova edizione della soluzione SIEM SGBox offre numerosi miglioramenti nell’interfaccia utente, con ottimizzazioni e nuove funzionalità di root cause analysis delle dashboard e la possibilità di eseguire ricerche complesse con operatori logici.
Per quanto riguarda la modalità multi-tenant, SGBox v5 introduce una serie di novità mirate a rendere più immediato l’accesso ai dati.
Tra le funzionalità principali, la possibilità di gestire i tenant in un’unica console e in modo centralizzato in caso di incidenti. Inoltre può anche gestire la definizione di amministratori per diversi gruppi e di configurazioni effettuate contemporaneamente su più tenant o su singoli utenti degli stessi.
SGBox detect and response
Sotto il profilo tecnico, invece, l’azienda ha integrato nuove funzioni pensate specificatamente per gli ambienti Microsoft. In particolare, è stato potenziato il rilevamento di potenziali minacce sugli endpoint introducendo numerose regole di correlazione predefinite e mappatura delle minacce su MITRE ATT&CK, oltre al monitoraggio delle modifiche a file sensibili.
Migliorato il supporto per i feed di terze parti che consente di affinare le correlazioni e la raccolta dei possibili indici di compromissione (IOC. Possibile attraverso l’indicizzazione di URL, indirizzi IP e domini considerati potenzialmente pericolosi.
Massimo Turchetto, Ceo e Founder di SGBox
Per identificare un attacco mirato all’interno dei propri sistemi informatici è necessario avere la massima visibilità dei possibili punti vulnerabili. Abbiamo pensato di rispondere a queste esigenze combinando la telemetria generata da uno strumento software che Microsoft mette a disposizione per gli endpoint con le funzionalità di analisi tipiche di una piattaforma SIEM.