SmartResponse

Resposta a incidentes em segundos, não dias

Quando uma organização detecta um comprometimento em sua rede, uma resposta a incidentes ágil pode ser a diferença entre uma contenção rápida e uma brecha de dados prejudicial. As organizações que dependem exclusivamente de processos manuais têm dificuldades para reduzir os tempos de resposta e, assim, enfrentam riscos mais elevados. As empresas que trabalham para acelerar os tempos de resposta devem automatizar as ações comuns de investigação e resposta.

Baixe a planilha SmartResponse

Infelizmente, a automação sempre esteve fora de alcance para a maioria das empresas. Geralmente, o desenvolvimento de uma solução interna apresenta custos muito elevados, e as opções existentes no mercado são inflexíveis ou requerem personalizações extensivas e onerosas.

Uma ferramenta de automação eficiente deve oferecer:

  • Fluxos de trabalho eficientes e processos de aprovação flexíveis
  • Integração direta no ambiente de TI
  • Suporte para múltiplos sistemas operacionais
  • Capacidade de atravessar redes díspares
  • Testes integrados
  • Custo e complexidade mínimos

Correção imediata que funciona

O SmartResponse™ possibilita uma resposta a incidentes exclusiva. Ele também possibilita uma operação semiautomatizada, baseada em aprovação, para que os usuários possam avaliar a situação antes de executar contramedidas.

A LogRhythm reduz o tempo necessário para realizar as etapas de investigação e mitigação comuns, evitando que os comprometimentos de alto risco sofram um efeito bola de neve. Por exemplo, ativar uma verificação de vulnerabilidade em um ponto de extremidade suspeito, ou medidas mais drásticas, como colocar um ponto de extremidade comprometido em quarentena ou desativar uma conta de usuário suspeita.

Plug-ins pré-construídos e personalizados

O LogRhythm Labs oferece aos clientes uma extensa biblioteca de ações pré-construídas do SmartResponse. A LogRhythm também ajuda os usuários a criar plug-ins usando a tecnologia de programação/scripts de sua preferência, como Bash, Java, .NET, Perl, PowerShell ou Python. Os usuários podem testar os plug-ins personalizados com uma ferramenta integrada que documenta as saídas e identifica erros. Essas ações pré-construídas e personalizadas do SmartResponse colocam os clientes no controle.

Integração de alarmes

A Estrutura de Automação do SmartResponse se integra perfeitamente à plataforma NextGen SIEM, da LogRhythm, oferecendo uma continuidade integral pelo fluxo de trabalho de detecção e resposta a ameaças de ponta a ponta.

Os usuários configuram as ações do SmartResponse para serem ativadas por alarmes específicos. Esses alarmes podem transmitir dados para a ação do SmartResponse, possibilitando uma execução dinâmica e precisa. Diversas ações do SmartResponse podem ser executadas de um único alarme, possibilitando ações simultâneas de investigação e mitigação.

Processos de aprovação sofisticados

Os usuários podem optar por esperar a execução do SmartResponse até que um técnico de incidentes ou uma cadeia de aprovação formal possa verificar as ações. Com o SmartResponse, os usuários podem implementar cenários de aprovação sofisticados como uma pré-condição para a execução. A LogRhythm também oferece suporte para cadeias de aprovação mais sofisticadas, incluindo aprovações de múltiplas partes de diferentes grupos quando forem necessárias aprovações entre diversas organizações.

Opções de execução flexíveis

O Framework de Automação SmartResponse da LogRhythm oferece suporte para diversas opções de execução de ações:

  • Execução de cadeia completa: Configure as ações do SmartResponse para serem executadas de forma completamente automatizada sem aprovação. Essa capacidade acelera a contenção de comprometimentos, neutralizado ameaças de alto risco em segundos.
  • Execução de clique único: Execute uma ação manualmente. A Estrutura de Automação do SmartResponse da LogRhythm permite a execução instantânea, em um só clique, de respostas de dentro da interface do usuário LogRhythm.
  • Execução remota de System Monitor: Inicie ações em locais remotos através de redes diferentes que não podem ser acessadas diretamente através de roteamento IP. O SmartResponse permite esse recurso com respostas que podem ser entregues e executados localmente em agentes do monitor do sistema. A execução remota do SmartResponse permite, assim, um recurso de resposta a incidentes verdadeiramente global e distribuído.

Auditoria completa e responsabilização

Em geral, os processos de resposta a incidentes envolvem muitas pessoas, equipes e tecnologias diferentes. Com o SmartResponse, a LogRhythm monitora e faz o log de toda a atividade conduzida para conter e mitigar o comprometimento. Isso elimina o incômodo de capturar e consolidar manualmente as informações de resposta a incidentes, incluindo aprovações e notificações. Capturar trilhas de auditoria ajuda a organização a refinar seus processos de resposta a incidentes, comunicar-se com a gestão e desenvolver os controles de conformidade.

Tire o máximo proveito dos investimentos existentes

O Framework de Automação SmartResponse da LogRhythm permite que os usuários se integrem facilmente com as tecnologias de segurança atuais e futuras. Ele oferece amplo suporte do fornecedor, para que os usuários possam responder em toda a rede, independentemente dos dispositivos de segurança, infraestrutura de TI, redes, sistema e aplicações implementados.

Casos de uso

As equipes de resposta a incidentes são capacitadas com plug-ins pré-preparados e personalizáveis, que podem reduzir o tempo de resposta de dias para minutos. Entre os casos de uso do SmartResponse, estão:

  • Quarentena de ponto de extremidade: Identifique a porta de rede onde um dispositivo suspeito está localizado e desative a porta/dispositivo.
  • Suspensão de usuários: Se um comprometimento de conta for detectado, bloqueie o acesso do usuário — independentemente do dispositivo que ele utilizar.
  • Coleta de dados de máquina: Em caso de malware, o SmartResponse pode coletar dados forenses do ponto de extremidade suspeito.
  • Suspensão do acesso à rede: Se estiver ocorrendo exfiltração de dados, a equipe de resposta a incidentes pode eliminar a conexão, atualizando a lista de controle de acesso usada por firewalls corporativos.
  • Matar processos: Se uma equipe detectar processos desconhecidos ou constantes da lista negra em dispositivos críticos, o SmartResponse poderá eliminar o programa específico em execução.