SGBox, attiva nello sviluppo e nella gestione di sistemi SIEM, ha annunciato il rilascio della versione 5 della sua piattaforma di detect and response, con novità e funzionalità dedicate, che consentono di sfruttare la piattaforma di Security Information and Event Management.
Questa nuova release integra un back-end completamente ridisegnato che offrire un incremento delle performance di accesso e storicizzazione dei dati. In particolare, il sistema offre ora una nuova modalità di organizzazione dei log raw e degli eventi mediante strumenti di gestione avanzata dei dati, senza però rinunciare alle funzionalità di protezione (cifratura, firma e timestamping) delle informazioni.
Il nuovo backend promette di ottenere un aumento delle performance nell’estrazione e nell’analisi, anche operando su centinaia di milioni di eventi. È stata inoltre introdotta una funzionalità di riconoscimento automatico e configurazione delle fonti dati note, per minimizzare il processo di setup iniziale e di aggiornamento delle configurazioni.
La nuova edizione della soluzione SIEM SGBox offre numerosi miglioramenti nell’interfaccia utente, con ottimizzazioni e nuove funzionalità di root cause analysis delle dashboard e la possibilità di eseguire ricerche complesse con operatori logici.
Per quanto riguarda la modalità multi-tenant, SGBox v5 introduce una serie di novità mirate a rendere più immediato l’accesso ai dati. Tra le funzionalità principali, la possibilità di gestire i tenant in un’unica console e in modo centralizzato in caso di incidenti, ma anche la definizione di amministratori per diversi gruppi e di configurazioni effettuate contemporaneamente su più tenant o su singoli utenti degli stessi.
Sotto il profilo tecnico, invece, l’azienda ha integrato nuove funzioni pensate specificatamente per gli ambienti Microsoft. In particolare, è stato potenziato il rilevamento di potenziali minacce sugli endpoint introducendo numerose regole di correlazione predefinite e mappatura delle minacce su MITRE ATT&CK, oltre al monitoraggio delle modifiche a file sensibili.
È stato inoltre migliorato il supporto per i feed di terze parti che consente di affinare le correlazioni e la raccolta dei possibili indici di compromissione (IOC) attraverso l’indicizzazione di URL, indirizzi IP e domini considerati potenzialmente pericolosi.
«Per identificare un attacco mirato all'interno dei propri sistemi informatici è necessario avere la massima visibilità dei possibili punti vulnerabili» spiega Massimo Turchetto, CEO e Founder di SGBox.
«Abbiamo pensato di rispondere a queste esigenze combinando la telemetria generata da uno strumento software che Microsoft mette a disposizione per gli endpoint con le funzionalità di analisi tipiche di una piattaforma SIEM».