ManageEngine Log360 fue presentado en el informe GigaOm Radar sobre Gestión de Operaciones de Seguridad Automatizada (ASOM), publicado en octubre de 2022 y escrito por Logan Andrew Green. El documento de la empresa de investigación incluye un estudio a profundidad de las soluciones ofrecidas por algunos de los principales proveedores del mercado y destaca a Log360 como Challenger en el sector ASOM.
Log360 es una solución SIEM unificada con funciones DLP y CASB integradas. Ayuda a detectar, priorizar, investigar y responder a las amenazas contra la seguridad. Combina inteligencia sobre peligros, detección de anomalías basada en machine learning y técnicas de detección de ataques basadas en reglas. También ofrece una consola de gestión de incidentes para remediar los riesgos detectados de forma efectiva.
ASOM: una nueva categoría integrada
Ante la rápida evolución de los riesgos, GigaOm cree que es importante integrar soluciones de gestión de eventos e información de seguridad (SIEM) junto con herramientas de orquestación, automatización y respuesta de seguridad (SOAR) para ayudar a los analistas a gestionar las amenazas de forma más eficiente. Esta nueva categoría ha sido definida por GigaOm como gestión automatizada de operaciones de seguridad (ASOM).
El informe evalúa a los proveedores destacados en función de los siguientes factores:
- Las conclusiones de dos informes anteriores de GigaOm: “Criterios clave para evaluar la gestión de eventos e información de seguridad” y “Criterios clave para evaluar la respuesta de orquestación y automatización de la seguridad“
- La funcionalidad de la solución
- El alcance de la integración SIEM y SOAR de la solución
Tras la evaluación, los proveedores se sitúan en un gráfico de radar visual. La colocación muestra si el proveedor es un actor basado en plataforma o funciones. También presenta si es una organización madura o innovadora.
Los parámetros anteriores se combinan para ofrecer una imagen de la capacidad de ejecución de un proveedor, su hoja de ruta futura, su capacidad de innovación, su enfoque, su fortaleza dentro del entorno, etc. Estas medidas ayudan a definir las cuatro esquinas del gráfico de radar: madurez e innovación, que pueden estar basadas en funciones o plataforma.
Log360, la solución SIEM de ManageEngine, se sitúa en el radar como Challenger y Fast Mover. También avanza hacia el centro enfocado en el líder. Además, se sitúa en el lado Basado en Plataforma (Platform Play) del gráfico. Esto indica que ofrece un producto SIEM/SOAR integrado. En el eje vertical, que compara la madurez frente a la innovación, la solución modular de ManageEngine se sitúa hacia el lado de la Innovación.
Refiriéndose al conjunto de productos de ManageEngine como la navaja suiza de las soluciones SIEM, el informe destaca los siguientes puntos fuertes de Log360:
- Segmentación del mercado
- Funciones SIEM de gestión de logs y cumplimiento
- Integración SIEM-SOAR
- Desarrollos relacionados con ML
Segmentación del mercado
Log360 ha extendido sus alas a diferentes categorías de mercado: pequeñas y medianas empresas (PYME), grandes empresas, sectores regulados, proveedores de servicios de seguridad gestionados (MSSP) y proveedores de servicios de red. Log360 tiene un mercado concentrado en EEUU, pero se está afianzando en los países europeos y está ampliando su mercado a los países de Oriente Medio y la India. Entre los prestigiosos clientes de ManageEngine figuran eBay, IBM, Toshiba, L&T Infotech y Cisco, entre muchos otros.
Funciones SIEM: Gestión de logs y cumplimiento
ManageEngine Log360 tiene algunas de las mejores funciones SIEM del mercado. Puede recopilar datos de más de 750 fuentes —que incluyen servidores, aplicaciones, estaciones de trabajo, escáneres de vulnerabilidades, entornos virtuales, bases de datos, soluciones contra peligros e infraestructuras en la nube— y luego analizarlos para detectar riesgos a la seguridad. Por medio de esta solución, los analistas de seguridad pueden clasificar las amenazas, analizarlas, marcarlas como incidentes, y remediarlas rápidamente con funciones de flujo de trabajo automático.
Log360 ofrece funciones de detección de peligros basadas en reglas, firmas y machine learning. Esto es posible gracias a su motor de correlación en tiempo real, la adopción del marco de modelado de riesgos MITRE ATT&CK y el módulo UEBA, respectivamente.
El motor de correlación de Log360 viene con reglas predefinidas para detectar amenazas y ataques conocidos, tales como los de fuerza bruta y varias cepas de ransomware. Este motor está integrado con el módulo de respuesta para la ejecución automática del flujo de trabajo para contener los ataques. También proporciona a los usuarios una línea temporal detallada del incidente para ayudarles en el análisis del impacto posterior a la violación de seguridad.
La solución adopta el marco de modelado de peligros MITRE ATT&CK para detectar diversas tácticas y técnicas utilizadas por los adversarios. Estos métodos se pueden correlacionar para trazar el patrón de ataque completo en varias etapas. También se pueden establecer acciones de flujo de trabajo granular para detener la propagación del ataque. Log360 también es capaz de crear informes de auditoría de TI según los requisitos de las distintas normas de auditoría —SOX, HIPAA, GLBA, FISMA y PCI DSS— y generar informes personalizados para otros requisitos de cumplimiento.
Integración SIEM-SOAR
La integración SIEM-SOAR es una de las combinaciones más buscadas por las empresas hoy en día. Las soluciones SIEM-SOAR integradas permiten al usuario gestionar todas las actividades SIEM, generar los informes necesarios y orquestar acciones de respuesta defensiva frente a los riesgos. Además, posibilita automatizar las medidas preventivas que deben adoptarse ante tales amenazas. En cuanto se activa la alerta, los analistas del centro de operaciones de seguridad (SOC) pueden gestionar los incidentes mediante la integración con los sistemas de tickets y asignarlos a los administradores adecuados.
Log360 ofrece un completo dashboard de gestión de incidentes que ayuda a los analistas a medir el rendimiento de sus SOC y optimizarlos. Este ofrece métricas clave como el tiempo medio de detección (MTTD), el tiempo medio de resolución (MTTR) y los incidentes atrasados y desatendidos. Log360 puede integrarse con software de mesa de ayuda como ManageEngine ServiceDesk Plus, Jira Service Desk, Zendesk y ServiceNow.
Desarrollos relacionados con ML
El machine learning (ML) y la inteligencia artificial (IA) se están convirtiendo en el combustible de cualquier solución relacionada con la tecnología. Esto hace que las soluciones de seguridad basadas en ML e IA sean la necesidad del momento. Log360 de ManageEngine está incorporando con éxito ML e IA en sus funciones. Gracias a las fuentes contra peligros procedentes de varios proveedores de análisis de riesgos, Log360 es capaz de detectarlas rápidamente.
Las innovaciones de ML en las soluciones SIEM han dado lugar a una UEBA o detección de anomalías avanzada. Esta consiste en el proceso de detección de cualquier actividad anómala realizada por un usuario o entidad dentro de la red. Para ello, se recopilan los datos de las fuentes de log y los modelos de algoritmos ML estudian los datos para desarrollar una línea de base para un usuario o entidad en particular.
Planteemos un ejemplo. Un inicio o cierre de sesión a una hora inusual activaría una anomalía, lo que alertaría al analista. Del mismo modo, se puede detectar cualquier eliminación anómala de archivos y generar una alerta. El UEBA puede mejorarse aún más con análisis de estacionalidad y grupos de pares para que la detección de riesgos sea más precisa. Aquí encontrará más información sobre la estacionalidad.
Opinión de los analistas
El informe de GigaOm destaca que las soluciones ASOM son la demanda actual del sector, ya que ofrecen a los analistas una herramienta integral lista para usar que les permite gestionar la mayoría de las actividades de seguridad. Sin embargo, también sugiere que las soluciones ASOM son muy complejas. Muchas empresas están buscando soluciones SIEM asequibles con funciones SOAR y UEBA. Aunque las ofertas de SIEM como servicio o SIEM gestionado resultan útiles, pueden carecer de los conocimientos técnicos y la comprensión cultural del cliente.
La automatización y las soluciones basadas en IA son más sostenibles. Tienen la capacidad de detectar amenazas por sí solas. GigaOm describe ManageEngine Log360 como una plataforma robusta que es compatible con un rango variado de funciones y capacidades. También proporciona soluciones de seguridad asequibles con intervención de IA y ML a empresas pequeñas y grandes de todos los sectores.