Com a integração entre o Flowmon ADS (Anomaly Detection System) e o MISP, uma plataforma de compartilhamento de inteligência de ameaças de código aberto, é possível transformar os indicadores de compromisso MISP em alertas e automações.
O Flowmon ADS detecta os últimos indicadores de comprometimento usando a API MISP e os utiliza para detectar atividades suspeitas na rede. A integração está disponível no Flowmon ADS 11.2 e versões mais recentes. Dessa forma, qualquer um pode usar a inteligência de ameaças MISP para relatar atividades maliciosas no ambiente corporativo.
VEJA TAMBÉM: Anomaly Detection System e o Monitoramento ICS/SCADA
Como são criados os Indicadores de Compromisso?
Além dos profissionais de segurança cibernética que tem o trabalho diário de fazer engenharia reversa de malwares e publicar indicadores de comprometimento, existe uma grande comunidade de segurança que protege vários ambientes, detecta e bloqueia atividades maliciosas a cada segundo. Esse esforço produz grande volume de logs que contêm informações muito interessantes, principalmente indicadores de comprometimento na forma de endereços IP dos invasores. Para desbloquear o valor escondido nos logs, é necessária a extração de indicadores de comprometimento e o compartilhamento com toda a comunidade.
Integração Flowmon ADS e MISP
O Flowmon ADS oferece várias técnicas de detecção com base em machine learning, baselining adaptável, heurística e padrões de comportamento para detectar um amplo conjunto de atividades maliciosas em escala e sem precisar de assinaturas. A cobertura de ataques desconhecidos é essencial para produzir indicadores valiosos de comprometimento.
A integração Flowmon ADS e MISP permite alimentar eventos no MISP como indicadores de comprometimento. (1) Servidor executando uma instância da plataforma MISP de um cliente. (2) Elemento de rede, por exemplo um switch. (3) Dispositivo Flowmon executando o Flowmon ADS para detecção avançada de ameaças. (4) Espelhamento de porta para o dispositivo Flowmon. (5) Implementação da API MISP para exportar indicadores de comprometimento extraídos de eventos Flowmon.
Os scripts personalizados no Flowmon ADS são usados de base para a integração que converte um evento detectado pelo Flowmon ADS em um evento MISP padrão com indicadores anexados de comprometimento como atributos. Os eventos convertidos e exportados para o MISP são controlados por perspectivas e os endereços IP privados são filtrados automaticamente. Você pode encontrar o manual de instalação completo no GitHub da Progress.
VEJA TAMBÉM: Anomaly Detection System e o Monitoramento ICS/SCADA
Qualquer dispositivo Flowmon pode fazer parte do esforço global conjunto para tornar a Internet um lugar mais seguro. Todos os clientes Flowmon podem aproveitar a integração gratuitamente junto com o Flowmon ADS 12.0 ou mais recente.
Fonte: Flowmon
Entre em contato com a International IT para saber mais detalhes ou realizar um trial da solução Flowmon em seu ambiente.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
