top of page
Foto do escritorInternational IT

Integração Flowmon ADS com os Indicadores de Compromisso MISP

Atualizado: 30 de nov. de 2023

Com a integração entre o Flowmon ADS (Anomaly Detection System) e o MISP, uma plataforma de compartilhamento de inteligência de ameaças de código aberto, é possível transformar os indicadores de compromisso MISP em alertas e automações.


O Flowmon ADS detecta os últimos indicadores de comprometimento usando a API MISP e os utiliza para detectar atividades suspeitas na rede. A integração está disponível no Flowmon ADS 11.2 e versões mais recentes. Dessa forma, qualquer um pode usar a inteligência de ameaças MISP para relatar atividades maliciosas no ambiente corporativo.




Como são criados os Indicadores de Compromisso?


Além dos profissionais de segurança cibernética que tem o trabalho diário de fazer engenharia reversa de malwares e publicar indicadores de comprometimento, existe uma grande comunidade de segurança que protege vários ambientes, detecta e bloqueia atividades maliciosas a cada segundo. Esse esforço produz grande volume de logs que contêm informações muito interessantes, principalmente indicadores de comprometimento na forma de endereços IP dos invasores. Para desbloquear o valor escondido nos logs, é necessária a extração de indicadores de comprometimento e o compartilhamento com toda a comunidade.


Integração Flowmon ADS e MISP


O Flowmon ADS oferece várias técnicas de detecção com base em machine learning, baselining adaptável, heurística e padrões de comportamento para detectar um amplo conjunto de atividades maliciosas em escala e sem precisar de assinaturas. A cobertura de ataques desconhecidos é essencial para produzir indicadores valiosos de comprometimento.



A integração Flowmon ADS e MISP permite alimentar eventos no MISP como indicadores de comprometimento. (1) Servidor executando uma instância da plataforma MISP de um cliente. (2) Elemento de rede, por exemplo um switch. (3) Dispositivo Flowmon executando o Flowmon ADS para detecção avançada de ameaças. (4) Espelhamento de porta para o dispositivo Flowmon. (5) Implementação da API MISP para exportar indicadores de comprometimento extraídos de eventos Flowmon.


Os scripts personalizados no Flowmon ADS são usados de base para a integração que converte um evento detectado pelo Flowmon ADS em um evento MISP padrão com indicadores anexados de comprometimento como atributos. Os eventos convertidos e exportados para o MISP são controlados por perspectivas e os endereços IP privados são filtrados automaticamente. Você pode encontrar o manual de instalação completo no GitHub da Progress.



 Evento criado automaticamente na plataforma MISP a partir de atividade maliciosa detectada pelo Flowmon ADS
Evento criado automaticamente na plataforma MISP a partir de atividade maliciosa detectada pelo Flowmon ADS

Qualquer dispositivo Flowmon pode fazer parte do esforço global conjunto para tornar a Internet um lugar mais seguro. Todos os clientes Flowmon podem aproveitar a integração gratuitamente junto com o Flowmon ADS 12.0 ou mais recente.


Fonte: Flowmon

 

Entre em contato com a International IT para saber mais detalhes ou realizar um trial da solução Flowmon em seu ambiente.


Posts recentes

Ver tudo

Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page