Piattaforma SGBox: Next Generation SIEM & SOAR
Siamo entusiasti di darti il benvenuto nel nuovo blog di SGBox, uno spazio dedicato all’approfondimento dei temi riguardanti le soluzioni di sicurezza informatica.
Novità, trend di settore, approfondimento sui prodotti SGBox: potrai trovare questo e molto altro all’interno del nostro blog, che ha l’obiettivo di fornirti informazioni chiare e definite per rendere più accessibile il mondo della sicurezza informatica.
In questo articolo presentiamo la nostra piattaforma, definendo quali sono le funzionalità e caratteristiche principali.
Che cos’è la Piattaforma SGBox?
SGBox è una piattaforma Next Generation SIEM & SOAR modulare e scalabile, sviluppata per rendere facile ed efficiente la gestione della sicurezza ICT.
SGBox fornisce tutti gli strumenti necessari per proteggerti da qualsiasi attacco informatico ed ottenere una visione completa ed approfondita sullo stato di sicurezza della tua infrastruttura IT, grazie a report e dashboard intuitivi.
La raccolta dei dati relativi agli eventi di sicurezza avviene in conformità con le normative sulla privacy. Tutti i log vengono cifrati e resi immutabili per garantirne l’integrità.
La piattaforma SGBox adatta per proteggere l’infrastruttura di organizzazioni di piccole, medie e grandi dimensioni, e trova applicazione anche nel settore della Pubblica Amministrazione.
Cosa si intende con “Next Generation”?
Con “Next Generation” si identifica una piattaforma capace di elaborare una grande quantità di dati e correlarli in modo tempestivo.
La piattaforma unisce le caratteristiche avanzate di analisi, correlazione dei dati e gestione degli eventi di sicurezza fornite dal SIEM (Security Information and Event Management) con quelle di orchestrazione e automazione della risposta fornite dal SOAR (Security Orchestration Automation and Response).
La sinergie tra queste due aree di sicurezza fornisce una protezione di livello avanzato su tutta la superficie di attacco, attraverso il rilevamento delle minacce e la risposta proattiva agli incidenti di sicurezza.
I moduli della piattaforma SGBox
Una delle caratteristiche peculiari di SGBox è la modularità. La piattaforma è infatti costituita da differenti moduli che operano in sinergia tra loro, e possono essere integrati facilmente a seconda delle specifiche esigenze di sicurezza di un’organizzazione.
Di seguito i moduli che compongono la piattaforma:
- SIEM: acronimo di Security Information and Event Management, come detto è la funzione cardine della piattaforma. È una soluzione che permette la raccolta, correlazione e analisi delle informazioni raccolte dai dispositivi di sicurezza per rispondere in modo tempestivo agli attacchi e generare report sullo stato di sicurezza.
- LOG MANAGEMENT: la funzione di Log Management permette la raccolta e la classificazione dei “log”, ovvero informazioni sulle operazioni eseguite da un sistema informatico.
- EVENT CORRELATION & RESPONSE SYSTEM: questo modulo permette di mettere in relazione le informazioni acquisite e creare regole di correlazione in grado di rilevare attacchi potenzialmente pericolosi.
- ACTIVE DIRECTORY AUDITOR: monitora lo stato delle Active Directory, attraverso cui è possibile tracciare l’accesso di un utente (per esempio ad alcune cartelle di un NAS) e monitorarne le attività. Questo modulo fornisce funzionalità compatibili con il mondo Windows.
- USER BEHAVIOR ANALYTICS (UBA): permette di analizzare le attività di tutti gli utenti per verificare se stanno creando una minaccia con le loro attività (es. navigazione in siti malevoli) e fornisce reportistica di situazioni che si discostano dal loro normale comportamento. In questo caso vengono prese delle contromisure automatiche per bloccare l’utente per un periodo di tempo, impedendone ad esempio l’accesso ad una rete.
- THREAT INTELLIGENCE FEED: prende le informazioni da un feed esterno, che generalmente è open-source. SGBox raccoglie le informazioni di sicurezza in Indicatori di Compromissione (IoC), ed è in grado di correlare i dati ai fini di produrre report e allarmi.
- NETWORK VULNERABILITY SCANNER: fornisce informazioni finalizzate alla valutazione complessiva delle minacce informatiche verso un dispositivo specifico. In seguito alla scansione, viene prodotto un report su più livelli (specifico o fotografia globale) in modo da rendere consapevole il cliente delle vulnerabilità della sua rete. Tutte le vulnerabilità vengono classificate con uno score che ne indica la gravità (CVE).
- ADVANCED EVENT SEARCH: questo modulo è utile per il controllo dello stato delle risorse, come RAM, CPU, spazio su disco, ed in generale per risolvere i problemi riscontrati sulla rete IT.
- INCIDENT MANAGEMENT: questa funzione consente di gestire gli incidenti e le anomalie riscontrati sugli altri moduli di SGBox. Fornisce una vista grafica intuitiva che identifica la struttura degli incidenti e il loro stato di evoluzione. Dà inoltre la possibilità di apertura ticketing per l’assistenza tecnica.
- SOAR: acronimo di Security Orchestration Automation and Response, questa è un’altra funzione cardine che si abbina al SIEM. Il SOAR introduce il concetto di orchestrazione e automazione delle attività di risposta, eliminando la necessità di intervento umano e riducendo al minimo i tempi di reazione agli attacchi.
- CLOUD SIEM: Il Cloud SIEM è una delle ultime modalità di utilizzo del SIEM. Permette di contrastare le minacce informatiche in modo agile e flessibile, grazie all’utilizzo del Cloud di SGBox in modalità “As a Service”.
- INTEGRITÀ DEI FILE: questo modulo verifica che i dati non subiscano alterazioni o manipolazioni non autorizzate. È una componente molto importante che in sinergia con il SIEM contribuisce a monitorare in modo dettagliato delle attività.