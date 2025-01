Milano, 22 gennaio 2025

Per aumentare la produttività e l'efficacia dei team di cybersecurity, Kaspersky presenta un importante aggiornamento della sua soluzione SIEM (Security Information and Event Management). Questo miglioramento include un nuovo modulo AI per una gestione più rapida ed efficace degli avvisi, aiuta a visualizzare le interdipendenze delle risorse e consente di estendere le capacità di ricerca.

Secondo Verified Market Research, il mercato globale SIEM è stato valutato 5,21 miliardi di dollari nel 2024, e si prevede che raggiungerà i 10,09 miliardi di dollari entro il 2031. Alcuni dei fattori principali che contribuiscono a questa crescita sono l’aumento delle minacce informatiche, le normative di conformità e la crescente esigenza di rilevamento rapido delle minacce. Le aziende sono alla ricerca di soluzioni che consentano di raccogliere e analizzare i dati in tempo reale, migliorando così la consapevolezza. Per rispondere a questa domanda, Kaspersky ha aggiunto alla propria piattaforma SIEM nuove funzionalità che permettono ai professionisti della sicurezza informatica di rilevare le minacce in modo più efficace.

Kaspersky SIEM è una piattaforma SOC (Security Operations Center) basata su una tecnologia AI-powered e supportata da una delle migliori Threat Intelligence a livello mondiale. La piattaforma raccoglie i log data e li arricchisce con informazioni di contesto e threat intelligence, fornendo tutte le informazioni necessarie per l’individuazione e la risposta agli incidenti. Inoltre, consente risposte automatiche agli avvisi e supporta le attività di ricerca delle minacce.

Nuovo modulo AI

Kaspersky SIEM integra un nuovo modulo AI in grado di ottimizzare la classificazione degli avvisi e degli incidenti analizzando i dati storici. Il sistema di risk scoring degli asset basato sull'AI fornisce ipotesi utili per attività di ricerca proattiva.

Questo modulo analizza come le caratteristiche di una particolare attività siano correlate a diversi asset (workstation, virtual machine, cellulari, ecc.). Quando il sistema rileva un avviso, a seguito di una correlazione di eventi che non è tipica per l’asset coinvolto, questa segnalazione viene evidenziata con un grado di priorità maggiore nell’interfaccia. In questo modo, gli analisti possono individuare rapidamente gli incidenti che richiedono un intervento immediato.

Raccolta dei dati dall’agente Kaspersky Endpoint Security

In precedenza, per raccogliere i dati dalle workstation con sistema operativo Windows e Linux, era necessario installare un agente SIEM su ciascun dispositivo o configurare la trasmissione dei dati a un host intermediario, per poi configurare lo scambio di dati con il SIEM. Con l'aggiornamento della piattaforma, se l’agente Kaspersky Endpoint Security è già installato sull’host, può inviare direttamente i dati al sistema SIEM. Questi dati possono essere utilizzati per ulteriori ricerche, analisi delle anomalie e correlazioni di eventi. Questo permette di eliminare l’ulteriore fase di installazione e monitoraggio di agenti SIEM separati per i clienti che già utilizzano i prodotti di Kaspersky per la sicurezza degli endpoint.

Grafico delle interdipendenze delle risorse e funzionalità di ricerca ampliate

Nella piattaforma sono state migliorate anche le capacità di ricerca, che consentono agli utenti di visualizzare come le risorse (come filtri, regole, elenchi) sono collegate tra loro. Un grafico delle interdipendenze delle risorse, con una struttura gerarchica a cartelle, facilita l'individuazione delle query di ricerca corrette, anche per i team numerosi o per le ricerche multiple archiviate. Gli analisti possono così identificare rapidamente gli eventi rilevanti o creare report "rolling window" definendo i tempi di inizio e fine di una query di ricerca o di un report. La cronologia delle query permette inoltre di accedere facilmente alle ricerche precedenti.

Versioni dei contenuti

Kaspersky SIEM memorizza la cronologia delle modifiche alle risorse sotto forma di versioni. Ogni volta che un analisti crea una nuova risorsa o modifica i parametri di una risorsa esistente, viene automaticamente generata una versione. Questa funzionalità facilita la collaborazione all’interno dei team, consentendo ad esempio di visualizzare le modifiche apportate da un collega a una regola di correlazione e, se necessario, di annullarle.

Mappatura univoca dei campi

Con la piattaforma aggiornata, gli analisti possono ora aggiungere a un evento di correlazione una serie di valori di campo specifici, indicati nella sezione dei campi univoci della regola di correlazione. Questo consente di risparmiare tempo, eliminando la necessità di cercare i valori di campo negli eventi sottostanti.

Inoltre, Kaspersky SIEM consente di aggiungere valori di campo specifici a un'eccezione, nel caso in cui un avviso venga identificato come falso positivo. Ogni regola di correlazione genera un elenco separato di eccezioni, permettendo agli analisti di concentrarsi sugli avvisi critici e di ridurre rapidamente il cosiddetto "rumore" generato dalle regole.

"Il SIEM è uno degli strumenti principali per i team SOC e i dipartimenti di sicurezza IT, per questo ci impegniamo costantemente per rendere la nostra piattaforma sempre più accessibile. Grazie a queste nuove funzionalità, le aziende possono reagire agli eventi in modo più rapido e con un dispendio di risorse inferiore. Abbiamo inoltre arricchito Kaspersky SIEM con elementi di collegamento a fonti di eventi e regole di correlazione. Oggi, le nostre regole 'out-of-the-box' coprono già oltre 400 tecniche della matrice MITRE ATT&CK, supportando quasi 300 fonti. E questo numero continua a crescere", ha dichiarato Ilya Markelov, Head of Unified Platform Product Line di Kaspersky.

Per ulteriori informazioni su Kaspersky SIEM, è possibile consultare il sito web.

