| Área funcional | Categoría | Subcategorías | Correlación del producto | |
|---|---|---|---|---|
| Función/compatibilidad | Descripción | |||
| Controle | ||||
| Contexto organizacional (GV.OC): Se comprenden las circunstancias —misión, expectativas de las partes interesadas, dependencias y requisitos legales, normativos y contractuales— que afectan a las decisiones de gestión de riesgos de seguridad cibernética de la organización. | GV.OC-03: Se comprenden y gestionan los requisitos legales, normativos y contractuales relativos a la seguridad cibernética, incluidas las obligaciones en materia de privacidad y libertades civiles. | Gestión de cumplimiento integrada | Simplifique la gestión del cumplimiento con plantillas de informes listas para auditorías para PCI DSS, HIPAA, FISMA, CCPA, GDPR, y mucho más. | |
| Supervisión (GV.OV): Los resultados de las actividades de gestión de riesgos de seguridad cibernética en toda la organización y el rendimiento se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos. | GV.OV-03: El rendimiento de la gestión de riesgos de seguridad cibernética de la organización se evalúa y revisa para realizar los ajustes necesarios. | Auditoría de AD en tiempo real | Vea la postura de riesgo de Active Directory y SQL Server. Evalúe el grado de riesgo para ayudar a ajustar la estrategia. | |
| Identificar | ||||
| Evaluación de riesgos (ID.RA): La organización comprende el riesgo de seguridad cibernética para la organización, los activos y los individuos. | ID.RA-02: La inteligencia de amenazas cibernéticas se recibe de foros y fuentes de intercambio de información. | Inteligencia de amenazas | Aproveche las fuentes de amenazas de formato STIX, TAXII y AlienVault Open Threat Exchange (OTX) para detectar direcciones IP, dominios y URL maliciosas. | |
| ID.RA-03: Se identifican y registran las amenazas internas y externas a la organización. | UEBA, detección de amenazas, respuesta a incidentes | Detecte software, servicios y procesos maliciosos en endpoints y servidores. Mitigue las amenazas internas y el compromiso de cuentas con UEBA. Mantenga un archivo de log a prueba de manipulaciones para garantizar que los datos de log de Windows, syslogs y otras aplicaciones estén protegidos para futuros análisis forenses y auditorías. Log360 proporciona un motor avanzado de detección de amenazas y respuesta ante incidentes (TDIR), Vigil IQ, que ayuda a las organizaciones a identificar, navegar e investigar las amenazas. | ||
| Proteger | ||||
| Gestión de identidad, autenticación y control de acceso (PR.AA): El acceso a los activos físicos y lógicos se limita a los usuarios, servicios y hardware autorizados y se gestiona de forma proporcional al riesgo evaluado de acceso no autorizado. | PR.AA-05: Los permisos de acceso, los derechos y las autorizaciones se definen en una política, se gestionan, se aplican y se revisan, e incorporan los principios de privilegio mínimo y separación de funciones. | Gestión de logs, ejecución de flujos de trabajo, SOAR | Detecte amenazas para los usuarios y dispositivos. Monitoree todos los accesos exitosos y fallidos. Active flujos de trabajo de respuesta para desconectar al usuario o la entidad asociada. | |
| Seguridad de los datos (PR.DS): Los datos se gestionan en función de la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de la información. | PR.DS-01: La confidencialidad, la integridad y la disponibilidad de los datos en reposo están protegidas. | DLP integrado, monitoreo de la integridad de los archivos | Evite la exposición de los datos bloqueando las actividades de copia de archivos de alto riesgo en dispositivos USB y en recursos compartidos locales y en la red. Además, Log360 monitorea los servidores de archivos al supervisar y grabar cada archivo copiado auditando su portapapeles para las acciones de copiar Ctr+C y clic derecho. | |
| PR.DS-02: La confidencialidad, la integridad y la disponibilidad de los datos en tránsito están protegidas. | DLP integrado, monitoreo de la integridad de los archivos | Evite que los archivos que contienen datos altamente sensibles se compartan por correo electrónico como archivos adjuntos. Log360 también permite supervisar los patrones de intercambio de datos a través de aplicaciones web como SharePoint, Exchange, OneDrive, DropBox, Box, entre otros, con detalles sobre quién realizó la solicitud, cuándo y desde dónde. Aproveche Log360 para proteger sus datos en tránsito monitoreando estaciones de trabajo, servidores de archivos, aplicaciones en la nube y mucho más. | ||
| PR.DS-10: La confidencialidad, la integridad y la disponibilidad de los datos en uso están protegidas. | DLP integrado, monitoreo de la integridad de los archivos | Aproveche Log360 para monitorear y generar informes en tiempo real sobre una amplia gama de actividades en archivos, como crear, eliminar, modificar, sobrescribir, renombrar, mover, leer, etc. Además, recopile detalles sobre todas las actividades en archivos a través de los navegadores, como posibles acciones de carga y descarga por parte de los empleados. Log360 también le permite clasificar los archivos en categorías según el nivel de sensibilidad (como público, privado, confidencial o restringido) para ayudar a proteger los archivos confidenciales en riesgo. | ||
| Seguridad de la plataforma (PR.PS): El hardware, el software (por ejemplo, firmware, sistemas operativos, aplicaciones) y los servicios de las plataformas físicas y virtuales se gestionan de acuerdo con la estrategia de riesgos de la organización para proteger su confidencialidad, integridad y disponibilidad. | PR.PS-04: Se generen registros y se pongan a disposición para una supervisión continua. | Gestión de logs | Recopile logs de dispositivos, servidores, dispositivos de red, firewalls y más. Encripte los datos de log para futuros análisis forenses, cumplimiento y auditorías internas. Log360 descubre automáticamente los dispositivos Windows y syslog de su red e ingiere los datos de log. Con funciones como el análisis sintáctico de logs personalizado, análisis en tiempo real, archivo seguro de logs y flujos de trabajo automatizados, Log360 refuerza la ciberseguridad de su organización. | |
| PR.PS-05: Se impide la instalación y la ejecución de software no autorizado | SOAR, CASB | Gracias a sus complejas funciones de recopilación de logs, Log360 utiliza métodos de recopilación de logs con agentes y sin agentes para garantizar que ninguna entidad o comportamiento anómalo pase desapercibido. El UEBA también proporciona información detallada sobre las instalaciones o ejecuciones de software no autorizadas o anómalas dentro de su red. | ||
| Resiliencia de la infraestructura tecnológica (PR.IR): Las arquitecturas de seguridad se gestionan con la estrategia de riesgos de la organización a fin de proteger la confidencialidad, la integridad y la disponibilidad de los activos, así como la resiliencia de la organización. | PR.IR-01: Las redes y los entornos están protegidos contra el acceso lógico y el uso no autorizados | UEBA, SOAR, CASB | Log360 supervisa las direcciones IP maliciosas que intentan acceder a los recursos vitales de su empresa y colabora analizando los usuarios que acceden a sitios web no seguros y prohibidos para ayudar tanto a detectar como a mitigar los ataques cibernéticos. Log360 también le ayudará a obtener más información sobre las técnicas de ataque, las puntuaciones de reputación de la IP y las geolocalizaciones de los actores maliciosos que intentan infiltrarse en su red. | |
| Detectar | ||||
| Monitoreo continuo (DE.CM): Los activos se monitorean para encontrar anomalías, indicadores de compromiso y otros acontecimientos potencialmente adversos. | DE.CM-01: Las redes y los servicios de red se monitorean para detectar acontecimientos potencialmente adversos. | Gestión de datos y logs | Obtenga información sobre sus incidentes de seguridad monitoreando y recopilando datos de auditoría exhaustivos de servidores, firewalls, aplicaciones y endpoints. | |
| DE.CM-03: Se monitorea la actividad del personal y el uso de la tecnología para detectar posibles acontecimientos adversos. | Gestión de log y datos, UEBA | Agrupe a los usuarios en la red en función de sus comportamientos y establezca una línea base para su grupo. Utilice la línea base como referencia para marcar cualquier desviación como anomalía y emitir alertas. Monitoree las actividades de los usuarios privilegiados, el acceso a datos y el acceso a la red, y reciba alertas de los incidentes en tiempo real. | ||
| DE.CM-09: Se monitorean el hardware y el software informáticos, los entornos de ejecución y sus datos para detectar posibles acontecimientos adversos. | Gestión de datos y logs | Obtenga información sobre sus incidentes de seguridad monitoreando y recopilando datos de auditoría exhaustivos de servidores, firewalls, aplicaciones y endpoints. | ||
| Análisis de acontecimientos adversos (DE.AE): Se analizan anomalías, indicadores de compromiso y otros acontecimientos potencialmente adversos para caracterizarlos y detectar incidentes de seguridad cibernética. | DE.AE-02: Los acontecimientos potencialmente adversos se analizan para comprender mejor las actividades asociadas. | Basado en reglas: Correlación en tiempo real | Recopile y analice logs de eventos de los endpoints, servidores, dispositivos de red y firewalls de su entorno para detectar amenazas de seguridad. Analice y correlacione logs con dashboards visuales para detectar incidentes de seguridad, ataques y comportamientos sospechosos o maliciosos de los usuarios. | |
| DE.AE-04: Se comprende el impacto estimado y el alcance de los acontecimientos adversos. | Análisis forense | Comprenda el impacto de los incidentes realizando análisis posteriores al ataque e identifique patrones para detener los ataques a través de análisis forenses de log. | ||
| DE.AE-06: La información sobre acontecimientos adversos se proporciona al personal y a las herramientas autorizadas. | SOAR | Obtenga un mayor contexto de seguridad a partir de los datos de log recopilados para identificar rápidamente los incidentes de seguridad y optimizar la gestión de incidentes al integrarse con herramientas externas de tickets. | ||
| DE.AE-07: La inteligencia sobre amenazas cibernéticas y otra información contextual se integran en el análisis. | Inteligencia de amenazas | Aproveche las fuentes de amenazas de formato STIX, TAXII y AlienVault OTX para detectar direcciones IP, dominios y URL maliciosas. | ||
| DE.AE-08: Se declaran incidentes cuando los acontecimientos adversos cumplen con los criterios de incidente definidos. | Umbral inteligente, basado en reglas: Correlación en tiempo real | Configure umbrales de alerta seleccionando el número de anomalías, intervalos y rangos de tiempo que desencadenan la alerta. | ||
| Responder | ||||
| Gestión de incidentes (RS.MA): Se gestionan las respuestas a los incidentes de seguridad cibernética detectados. | RS.MA-01: Se ejecuta el plan de respuesta a incidentes en coordinación con los terceros pertinentes una vez que se declara un incidente. | SOAR | Automatice y acelere la respuesta a las amenazas a través de flujos de trabajo estándar y agilice la gestión de incidentes mediante la integración con herramientas de tickets. | |
| RS.MA-02: Se clasifican y validan los informes de incidentes. | Análisis forense | Mitigue las amenazas internas y externas recopilando y analizando datos en tiempo real de todos los recursos críticos. Realice análisis forenses identificando anomalías de la red y el sistema. | ||
| RS.MA-03: Se clasifican y priorizan los incidentes. | Basado en firmas: MITRE ATT&CK | Priorice las amenazas que se producen antes en la cadena de ataque utilizando el marco MITRE ATT&CK en Log360. | ||
| RS.MA-04: Se escalan o elevan los incidentes según sea necesario. | SOAR, orquestación | Automatice y acelere la respuesta a las amenazas a través de flujos de trabajo estándar y agilice la gestión de incidentes mediante la integración con herramientas de tickets. | ||
| Análisis de incidentes (RS.AN): Se llevan a cabo investigaciones para garantizar una respuesta eficaz y apoyar las actividades de análisis forense y recuperación. | RS.AN-03: Se realizan análisis para determinar lo que ocurrió durante un incidente y la causa raíz del mismo. | Análisis forense | Comprenda el impacto de los incidentes realizando análisis posteriores al ataque e identifique patrones para detener los ataques a través de análisis forenses de log. | |
| RS.AN-06: Se registran las acciones realizadas durante una investigación y se preservan la integridad y la procedencia de los registros. | Archivo de logs seguro | Haga que los archivos del log de eventos sean a prueba de manipulaciones para asegurarse de que los datos de log están protegidos para futuros análisis forenses, cumplimiento y auditorías internas. | ||
| RS.AN-07: Se recopilan los datos y metadatos del incidente y se preservan su integridad y su procedencia. | Gestión de datos y logs | Mitigue las amenazas internas y externas recopilando y analizando datos en tiempo real de todos los recursos críticos. | ||
| Notificación y comunicación de la respuesta al incidente (RS.CO): Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según lo exijan las leyes, las normativas o las políticas. | RS.CO-02: Se notifican los incidentes a las partes interesadas internas y externas. | Basado en reglas: Correlación en tiempo real, SOAR | Correlacione los datos de log para detectar patrones de ataque, realizar análisis de causa raíz y automatizar las notificaciones inmediatas por correo electrónico y SMS. | |
| Notificación y comunicación de la respuesta al incidente (RS.CO): Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según lo exijan las leyes, las normativas o las políticas. | RS.MI-01: Los incidentes son contenidos. | SOAR | Automatice la respuesta a incidentes y cree flujos de trabajo de incidentes que se desencadenan por alertas. Reduzca el tiempo medio de detección (MTTD) y el tiempo medio de resolución (MTTR) de un incidente detectando, categorizando, analizando y resolviendo rápidamente un incidente de forma precisa con una consola centralizada. | |
| Responder | ||||
| Ejecución del plan de recuperación de incidentes (RC.RP): Se realizan actividades de restauración que garantizan la disponibilidad operativa de los sistemas y servicios afectados por incidentes de seguridad cibernética. | RC.RP-01: La parte de recuperación del plan de respuesta a incidentes se ejecuta una vez que se inicia desde el proceso de respuesta a incidentes. | SOAR | Finalice o inicie procesos, cambie las reglas del firewall y efectúe cambios en AD automáticamente tras un incidente para permitir la recuperación. | |
¡Adopte las mejores prácticas de protección de datos con nuestra solución SIEM unificada!