Illumio se integra con Splunk para mejorar el tiempo de respuesta de las operaciones de seguridad

La tecnología de microsegmentación adaptativa de Illumino se está convirtiendo rápidamente en una parte fundamental del stack de seguridad y en una herramienta esencial para proteger las aplicaciones que se ejecutan en entornos de centros de datos y nube. A medida que vemos a los clientes implementar Illumio Adaptive Security Platform (ASP) para proteger más partes de sus entornos de aplicaciones, también vemos que Illumio extiende Illumio a más equipos en toda su organización, como los equipos del Centro de Operaciones de Seguridad (SOC) que dependen de herramientas como información de seguridad y administración de eventos (SIEM) para monitorear entornos en busca de alertas y anomalías.

Integración de Illumio con Splunk brinda a los equipos de SOC la capacidad de identificar rápidamente cargas de trabajo potencialmente comprometidas y permite que los administradores de Illumio puedan monitorear el estado de la solución de Illumio.

Nos integramos con Splunk de las siguientes maneras:

Servidor Illumio y Splunk

Illumio ASP reenvía eventos de auditoría, eventos de políticas y estado de la solución Illumio directamente a Splunk Enterprise Server, donde los datos se pueden integrar con los existentes operaciones de seguridad herramientas como Splunk Enterprise Security, la aplicación Illumio para Splunk y flujos de trabajo del equipo SOC.

Complemento de tecnología Illumio (TA) para Splunk

El complemento de tecnología Illumio para Splunk enriquece a Illumio Motor de computación de políticas (PCE) datos con nombres de campo, tipos de eventos y etiquetas del Modelo de información común (CIM). El TA permite que los datos de Illumio se usen fácilmente con Splunk Enterprise Security, la aplicación Illumio para Splunk y otras aplicaciones en el ecosistema de Splunk.

El Illumio TA está disponible como una descarga gratuita desde Splunkbase aquí.

Seguridad empresarial Illumio y Splunk

Splunk Enterprise Security (ES) es una solución premium que brinda a los clientes la capacidad de detectar y responder rápidamente a ataques internos y externos. La integración de Illumio con Splunk ES ayuda a simplificar la administración de amenazas y minimizar el riesgo. Splunk ES optimiza todos los aspectos de las operaciones de seguridad y es adecuado para organizaciones de todos los tamaños y experiencia. El complemento de tecnología para Illumio etiquetará los datos entrantes de Illumio con etiquetas CIM para que los datos de Illumio se puedan usar de manera efectiva dentro de Splunk ES.

La app de Illumio para Splunk

La aplicación Illumio para Splunk es un conjunto de paneles preconstruidos que mejoran la integración de Illumio con Splunk al proporcionar información operacional y de seguridad en entornos protegidos por Illumio. La aplicación Illumio para Splunk viene con los siguientes paneles:

• Panel de operaciones de seguridad — brinda información al personal de SOC para identificar rápidamente posibles ataques e identificar cargas de trabajo comprometidas.
• Panel de operaciones de PCE — brinda a los administradores de Illumio un “único panel de vidrio” para monitorear el estado de todos los PCE implementados y administrados.
• Panel de operaciones de carga de trabajo — proporciona a los administradores de Illumio visibilidad sobre VENS, incluidos detalles sobre las cargas de trabajo que se desconectaron o se suspendieron y que podrían requerir una intervención manual.
  
  

La App Illumio para Splunk está disponible como descarga gratuita desde Splunkbase aquí.

Iniciativa de respuesta adaptativa

Illumio proporciona una acción de respuesta adaptativa para su uso dentro de Splunk ES, lo que permite poner en cuarentena cargas de trabajo potencialmente violadas. Esto permite que los equipos de SOC tomen medidas sobre cargas de trabajo que exhiben actividades potencialmente riesgosas al aprovechar Splunk AR, la API REST de Illumio y la política de Illumio para aislar las cargas de trabajo comprometidas de otras cargas de trabajo de producción y, al mismo tiempo, permitir el acceso de los equipos forenses. Al llamar a la API REST de Illumio, las políticas de microsegmentación se aplican instantáneamente y contienen el impacto de la carga de trabajo comprometida en cuestión de segundos.

La capacidad Adaptive Response está disponible como parte de la solución Splunk Enterprise Security.

La integración de Illumio con plataformas SIEM como Splunk brinda a los equipos SOC una visión única y crítica de la actividad del centro de datos para aumentar sus otras alertas y feeds con la capacidad de identificar rápidamente las comunicaciones no autorizadas que podrían ser un indicador de una violación.