O RIS (Risk Information and Security), plataforma SaaS desenvolvida pela Redbelt Security, está em constante evolução. Desta vez, as atualizações trazem inteligência artificial para enriquecimento de dados de incidentes, um dashboard de SIEM e a possibilidade de classificar alarmes como falso ou verdadeiro positivo.
A tecnologia do RIS combina integrações dos mais variados softwares (APIs), inteligência artificial alimentada por inteligência humana, automação para enriquecimento de dados e orquestração na tomada de decisões.
Conheça as atualizações:
IARis: a assistente virtual que enriquece dados de incidentes
A IARis é a nova assistente virtual integrada ao módulo de incidentes do RIS, que utiliza inteligência artificial para enriquecer os dados de incidentes de segurança. Oferece detalhes precisos sobre a natureza da ameaça, sugere correções e ajuda a classificar incidentes como falsos ou verdadeiros positivos.
Com isso, proporciona uma análise de dados mais rica, agiliza significativamente a interpretação e a resposta a alarmes críticos, e torna o processo de resolução de incidentes muito mais rápido e eficiente. O resultado é economia de tempo e mais poder de decisão para as empresas.
Tenha acesso ao RIS hoje. Converse com um de nossos consultores.
Integração com SIEM Rapid7
No módulo incidentes, o RIS agora conta com uma integração completa com o SIEM Rapid7, ampliando ainda mais as capacidades de monitoramento e resposta a incidentes de segurança.
A integração com o Rapid7 permite a coleta e centralização de alarmes de segurança, proporcionando uma visão unificada e detalhada. Além disso, todos os dados coletados pelo Rapid7 serão integrados aos dashboards do RIS, proporcionando relatórios centralizados e personalizáveis para facilitar a tomada de decisões.
Integração bilateral com ServiceNow
O RIS agora oferece uma integração bilateral completa com o ServiceNow, aprimorando ainda mais a gestão de incidentes e vulnerabilidades. Agora, as mudanças de status e detalhes dos tickets feitas no ServiceNow são replicadas no RIS, garantindo uma sincronização completa entre as plataformas.
Classificação de Alarmes (falso ou verdadeiro positivo)
Os alarmes gerados no RIS agora podem ser classificados como falsos ou verdadeiros positivos, permitindo uma análise mais precisa e detalhada dos alarmes e incidentes. O que oferece feedback valioso para ajustar e melhorar as regras de detecção, aumentando a eficácia do sistema de monitoramento. E o feedback obtido a partir da classificação de alarmes permite ajustes contínuos nas regras e políticas de detecção, aprimorando a eficácia do sistema ao longo do tempo.
Integração com IBM QRadar para alarmes sobre log sources que param de enviar logs
Essa melhoria foi implementada na integração já existente com o QRadar, com o intuito de gerar alarmes no RIS toda vez que um log source parar de enviar logs, indicando que o monitoramento daquele ativo pelo SIEM está comprometido. Assim, assegura que as logs sources estão operacionais e que qualquer interrupção no envio de logs seja detectada imediatamente.
Liberação de API de alarmes
A nova API de alarmes proporciona maior flexibilidade e integração para usuários do RIS. Consiste na liberação de uma API que possibilita realizar requisições GET, permitindo filtrar alarmes por data, status e criticidade. Para se conectar na API do RIS, é necessário criar um token na área administrativa do RIS e fazer a autenticação via OAuth. Oferece também um serviço de webhook do RIS para que os clientes possam consumir as informações sempre que um alarme for aprovado.
Indicador de MFA para o Office 365
Um novo dashboard no módulo de Microsoft 365 do RIS proporciona uma visão detalhada sobre o status de MFA (Autenticação Multifator) dos usuários. Obtém dados diretamente do Azure da Microsoft para apresentar informações detalhadas sobre quais usuários estão com MFA ativo ou inativo; quais são os métodos de autenticação de MFA utilizados; quais os métodos padrão de MFA utilizados por cada usuário; e quais usuários administradores possuem ou não o MFA ativo.
Notificações via WhatsApp
O WhatsApp agora é o novo meio de receber notificações no RIS, proporcionando mais opções de comunicação para os usuários. Hoje, eles podem também configurar notificações por e-mail, Slack ou Teams.
Integração com CloudFlare
O RIS agora oferece integração com CloudFlare, proporcionando uma gestão centralizada e eficaz das suas proteções de segurança em aplicações web. A integração permite monitorar e gerenciar os serviços de segurança do CloudFlare diretamente pelo RIS. E todos os alertas gerados pelo CloudFlare categorizados como Ataque pelo WAF são centralizados no RIS, oferecendo uma visão unificada e detalhada das atividades de segurança e performance.
Integração com TopDesk
A integração unilateral com TopDesk aprimora a gestão de incidentes e chamados. Porque permite a exportação de dados de incidentes e vulnerabilidades do RIS para o TopDesk, garantindo que todas as informações sejam centralizadas também no TopDesk. E facilita a gestão centralizada de incidentes e vulnerabilidades, melhorando a coordenação e o controle das atividades de segurança.
Dashboard SIEM
O novo dashboard de SIEM cria uma visão focada na integração com IBM QRadar, oferecendo uma análise detalhada e cruzada de diversos indicadores. Exibe a média de eventos por segundo (EPS) diária baseada em dois períodos do dia. Isso permite a criação de indicadores de consumo de EPS por período, agrupados por dia, semana, quinzena, mês, semestre e ano. Também permite identificar o consumo de EPS de cada log source também por período, cruzando dados de EPS com log sources.
Além disso, separa as regras padrão das customizadas pela Redbelt, exibindo um gráfico que mostra a quantidade de regras ativas por dia, semana, quinzena, mês e ano. Ao clicar sobre as regras, é possível relacioná-las com log sources, alarmes e ver o detalhamento completo. E mostra todos os detalhes de cada log source, se está ativo ou não, permitindo filtros e exportações.
Todas as informações deste dashboard são cruzadas para proporcionar uma visão unificada e detalhada.
Integração com Imperva WAF Analytics
Agora o RIS está integrado à nova versão da API do Imperva WAF Analytics. Essa integração permite um monitoramento mais eficiente dos dados de segurança coletados pelo Imperva, garantindo insights mais precisos e maior visibilidade sobre os eventos do WAF.
Com a nova API, conseguimos acessar dados mais atualizados e detalhados, agilizando a análise de ameaças e ajudando as equipes a tomar decisões rápidas e assertivas.
Integração do RIS com o Microsoft Sentinel via API
O RIS agora também está integrado com o Microsoft Sentinel via API. Essa integração permite que os dados de segurança do Sentinel sejam incorporados diretamente ao RIS, proporcionando um monitoramento centralizado e uma resposta mais ágil aos incidentes.
Com essa nova conexão, conseguimos aumentar a eficiência na correlação de eventos e facilitar a investigação de ameaças, aproveitando o poder do Sentinel combinado às funcionalidades do RIS.
Novo módulo de Cyber Threat Intel integrado ao SOCRadar
Implementamos um novo módulo de Cyber Threat Intelligence integrado ao SOCRadar. Essa integração amplia a nossa capacidade de identificar ameaças emergentes e obter informações valiosas sobre os clientes monitorados.
O módulo gerenciará as palavras-chave do cliente, controlando a quantidade e os limites contratados. E, com o SOCRadar, conseguimos aumentar a visibilidade das ameaças em tempo real, permitindo uma resposta ainda mais proativa e alinhada às necessidades de segurança dos nossos ambientes. Este módulo é uma ferramenta poderosa para manter nossas defesas sempre à frente dos possíveis ataques.
Runbooks para alarmes
Cada alarme no RIS agora tem um runbook específico, que pode ser criado manualmente por um colaborador da Redbelt ou gerado automaticamente pela inteligência artificial do RIS, chamada IARis. Os runbooks são gerados de acordo com o tipo de alarme e baseado na metodologia SANS, que conta com 6 etapas.
Além disso, cada cliente tem sua base de runbooks e pode personalizá-los de acordo com suas necessidades, em conjunto com os consultores do SOC. E para cada etapa do SANS há um checklist que precisa ser seguido quando um alarme for classificado como verdadeiro positivo, com a adição de evidências de que o runbook e seu checklist foram executados.
Uma nova aba chamada “trilha de auditoria” foi adicionada, onde todas as ações, mudanças e responsáveis pelo alarme serão armazenados. Esta trilha pode ser exportada em formato de relatório PDF para documentar toda a tratativa do alarme.
Os clientes poderão exportar os runbooks mesmo sem um alarme atrelado, apenas para documentar os procedimentos de acordo com os tipos de alarmes existentes.
Uma plataforma sofisticada de cibersegurança
Desenvolvida pela Redbelt Security para aprimorar os serviços que oferecem aos seus clientes, o RIS já conta com cinco módulos para ajudar as empresas que desejam reduzir o tempo de resposta aos incidentes de segurança, gerenciar o ciclo de vida de vulnerabilidades no seu ambiente, entre outras ações. Os módulos são:
- Gestão de vulnerabilidades
- Gestão de WAF (Web Application Firewall)
- Gestão de Incidentes
- Gestão Microsoft 365
- Cyber Threat Intel
Tenha acesso ao RIS hoje. Converse com um de nossos consultores.
