Blog

Presentamos Copilot Asset Analyzer

Anomali Copilot Asset Analyzer introduce de manera efectiva el «análisis de adentro hacia afuera» al identificar los activos internos de una empresa que interactúan con actores maliciosos externos.

Matt Sayar
October 28, 2024
Table of contents

Anomali se complace en anunciar la ampliación de las capacidades de automatización en forma de Asset Analyzer, un copiloto personalizado, para los clientes que utilizan nuestros productos Copilot y Security Analytics. Asset Analyzer realiza un análisis que normalmente requiere un manual de estrategias SOAR, lo que mejora la eficiencia del SOC y ayuda a consolidar la pila de seguridad.

Asset Analyzer realiza un «análisis de adentro hacia afuera», tomando los registros ingeridos por los clientes y ejecutando un análisis para generar tablas de búsqueda. Con el copiloto personalizado de Anomali, los analistas pueden hacer preguntas en lenguaje natural directamente desde esas tablas y recibir de inmediato información útil.

Por qué creamos Copilot Asset Analyzer

Los SIEM, en promedio, producen miles de alertas por día, un número que aumenta considerablemente a medida que los adversarios aprovechan cada vez más la IA. Este alarmante volumen deja a los SoC con una escasez crónica de personal, ya que los analistas pueden tener que procesar cientos de eventos a diario, lo que requiere al menos 20 minutos por evento (suponiendo que el analista tenga experiencia y trabaje con rapidez).

Los pasos involucrados en el análisis pueden incluir:

  1. Clasificación inicial de alertas: En primer lugar, un analista revisa la alerta de SIEM para confirmar la coincidencia de IP y verificar su correlación con las fuentes de inteligencia sobre amenazas (como Anomali ThreatStream). Este paso es esencial para validar la alerta y determinar si justifica una investigación más profunda.
  2. Escaneo antivirus: El analista usa la dirección IP para consultar los servicios en línea que analizan archivos y URL sospechosos para detectar tipos de malware y otro contenido malicioso a través de motores antivirus y escáneres de sitios web. Estos datos de reputación exhaustivos ayudan a los analistas a comprender si la IP está asociada a amenazas conocidas.
  3. Búsqueda de DNS pasiva: Una búsqueda de DNS pasiva proporciona una vista de la configuración de la infraestructura de Internet, lo que puede ayudar a los analistas a recopilar información histórica de dominio e IP para la dirección IP coincidente. Estos datos arrojan luz sobre cómo se ha utilizado el dominio o la dirección IP a lo largo del tiempo, lo que puede revelar patrones o cambios sospechosos.
  4. Evaluación de la superficie de ataque: Los analistas utilizan plataformas de búsqueda especializadas basadas en la web para evaluar las superficies de ataque de los dispositivos conectados y realizar una búsqueda en la dirección IP para identificar los servicios, los certificados y la infraestructura asociados a la entidad. Esto proporciona información profunda sobre la infraestructura de la IP, lo que puede ayudar a descubrir servicios potencialmente riesgosos o errores de configuración.
  5. Enriquecimiento de la inteligencia sobre amenazas: Enriquecer la dirección IP con la plataforma de inteligencia de amenazas de Anomali, ThreatStream, ayuda a proporcionar contexto, incluidos los actores de amenazas asociados, las familias de malware o las campañas de ataque.
  6. Clasificación de riesgo: En este paso, los analistas combinan la información de las aplicaciones a las que se hace referencia en los pasos 2 a 4 para evaluar el nivel de riesgo general de la IP, teniendo en cuenta el comportamiento histórico, los informes maliciosos y las características de la infraestructura. La priorización de las alertas por nivel de riesgo les permite centrarse en las amenazas que representan riesgos críticos e inmediatos para la organización.
  7. Enriquecimiento de activos: Enriquecer la propiedad intelectual con datos de la base de datos de activos o del escáner de vulnerabilidades ayuda a los analistas a identificar si está asociada a algún activo crítico o a vulnerabilidades conocidas dentro de la organización. Este paso fundamental vincula las amenazas externas con los activos internos, lo que permite al analista evaluar su impacto directo y su relevancia para los sistemas de la organización.
  8. Asignación final de riesgos: Basándose en la combinación de datos de inteligencia y activos, los analistas asignan una puntuación de riesgo a la alerta y la etiquetan con el activo o la entidad asociados dentro de la organización. Estas actividades permiten la contextualización, el seguimiento adecuado, la priorización de las respuestas y la remediación automatizada, si es necesario.
  9. Respuesta o escalamiento automatizados: Según la puntuación de riesgo, active una respuesta de contención automatizada, como bloquear la IP o escalar la alerta para una mayor investigación humana. La automatización o la escalación garantizan que la organización responda rápidamente a las amenazas de alta prioridad y reduce la carga de trabajo de los equipos de seguridad.

Anomali Copilot ahora es capaz de realizar los pasos 1 a 8 sin necesidad de un manual de estrategias SOAR. Mientras Copiloto puede ayudar a los analistas en el paso 9. Anomali aconseja a los clientes que mantengan a los humanos informados sobre las decisiones de bloqueo. Los humanos también pueden pedirle a Copilot que escriba y ejecute una consulta utilizando Anomali Query Language (AQL) para bloquear la IP.

Con la ayuda de Copilot, Anomali Security Analytics lleva a cabo estos pasos con una escala y una velocidad sin precedentes, procesando miles de millones de eventos por segundo y clasificando millones de señales y alertas individuales. El agente de evaluación de activos, un copiloto personalizado, proporciona una vista de tabla agregada de los eventos de la red. Puede ver esta tabla mediante una búsqueda o utilizarla como copiloto personalizado, realizando consultas en lenguaje natural.

Qué ofrece el agente de evaluación de activos

El agente de evaluación de activos proporciona una vista de tabla agregada de los eventos de red para cada activo (direcciones IP que pertenecen a la organización). A diferencia del registro de eventos o coincidencia del IOC tablas, que contienen información detallada sobre cada evento de red y cada coincidencia de amenazas individuales, esta tabla consolida esa información por activo. Cada fila de la tabla representa un activo (IP) único dentro de la red de la organización y proporciona información de alto nivel derivada de coincidencia del IOC mesa. También proporciona puntajes de activos para resaltar los activos más riesgosos. Esta es una de las mayores ventajas de la mesa e incluye:

  • Descripción general a nivel de activos: Información agregada para cada IP (activo) único de la red de la organización.
  • Exposición a la red: Listas de puertos únicos, puertos abiertos accesibles desde fuera de la red y dominios asociados a cada activo (dominio_organización).
  • Conexiones de amenazas: Listas agregadas de indicadores maliciosos (por ejemplo, direcciones IP) con los que se ha comunicado el activo.
  • Información sobre el servicio y el software: Servicios que se ejecutan en puertos abiertos, software asociado y cualquier software al final de su vida útil identificado en el activo.
  • Análisis de vulnerabilidad: Los CVE asociados con el software del activo, incluidas las vulnerabilidades críticas y explotables.
  • Modelos de amenazas: Vista de alto nivel de los modelos de amenazas asociados a los indicadores maliciosos conectados al activo.

Qué no cubre el agente de evaluación de activos

  • Detalles a nivel de evento: El agente de evaluación de activos no incluye información granular evento por evento (se puede encontrar en coincidencia del IOC o registro de eventos tablas).
  • Registros de conexión específicos: En esta tabla no aparecen ni los registros de eventos individuales ni las horas específicas de cada conexión.
  • Información detallada de los indicadores: Si bien el Asset Assessment Agent agrega indicadores maliciosos, no incluye todos los detalles sobre cada uno de ellos (puede encontrar esta información en coincidencia del IOC mesa).

Cuándo usar el agente de evaluación de activos

El agente de evaluación de activos proporciona lo siguiente:

  • Visibilidad: Una vista agregada de las amenazas y los riesgos relacionados con activos específicos.
  • Claridad: Una imagen clara de los servicios, los puertos, los dominios y las vulnerabilidades asociadas a cada activo de la organización.
  • Relevancia: Una evaluación rápida de los activos con el mayor riesgo, basada en la inteligencia de amenazas y las vulnerabilidades correlacionadas.

Cómo se compara con la gestión de superficies de ataque

El nuevo agente de evaluación de activos tiene un objetivo similar al de la gestión de la superficie de ataque, pero difiere en su enfoque, lo que proporciona una perspectiva adicional. Vea las imágenes a continuación:

Gestión de la superficie de ataque se centra en cómo los adversarios externos pueden acceder a los activos en línea de una empresa: una visión «de afuera hacia adentro».

Analizador de activos Copilot identifica los activos internos de una empresa que interactúan con malos actores externos: una visión «de adentro hacia afuera».


Conclusiones clave

El nuevo Custom Copilot refuerza la integración dentro de su Plataforma SecOps al tiempo que proporciona una alternativa más rápida y sólida a un manual de estrategias SOAR. Programe una demostración para ver Copilot Asset Analyzer con sus propios ojos.

Matt Sayar

Matt Sayar is a Principal Product Manager at Anomali. He has an extensive background in security operations and identity and access management

Propel your mission with amplified visibility, analytics, and AI.

Learn how Anomali can help you cost-effectively improve your security posture.