OPEN NDR Enterprise con Zeek
Corelight, la solución Enterprise de Zeek, te permite ver tu red como ninguna otra solución. Concebida para operadores de ciberseguridad, nuestra solución captura más de 50 protocolos para obtener máxima visibilidad y un alto nivel de detalle.
LA EMPRESA
Corelight ofrece a los operadores de ciberseguridad la capacidad de visualizar la red de forma incomparable para ayudarles a proteger las organizaciones y empresas más importantes del mundo. Entre los clientes de Corelight a nivel global encontramos a compañías del Fortune 500, altos estamentos gubernamentales, y universidades punteras en investigación. La compañía ha recibido el apoyo de inversores como Accel, General Catalyst, Insight Partners y Osage University Partners. Con sede en San Francisco, Corelight es una compañía de ciberseguridad open-core fundada por los creadores de Zeek, la extendida solución de seguridad de la red (anteriormente Bro).
¿POR QUÉ CORELIGHT?
GESTIÓN DE LOGS POR CORELIGHT
Corelight, la solución Enterprise de Zeek, brinda a los operadores de ciberseguridad senior la información y las herramientas que necesitan para detectar y responder con éxito a las ciberamenazas. Corelight se basa en Zeek, una tecnología estándar global de código abierto. Zeek proporciona datos enriquecidos, estructurados y relevantes para la ciberseguridad en el SOC, lo que hace que todos los operadores, desde los analistas de nivel 1 hasta los Threat Hunters más experimentados, sean mucho más efectivos.
CORELIGHT, LA SOLUCIÓN ENTERPRISE DE ZEEK, ESTÁ BASADA EN UNA PLATAFORMA OPEN NDR
ZEEK
¿Qué es Zeek / Bro? Es la información sobre tu red que quieres tener.
Cuando se crea una alerta de seguridad o cuando se tiene que investigar un incidente, Zeek / Bro permite obtener un diagnóstico más rápido. Zeek complementa las herramientas basadas en firmas permitiendo rastrear rápidamente eventos complejos a través de múltiples flujos y protocolos con facilidad, para identificar y resolver rápidamente problemas de seguridad.
Zeek, de código abierto, tiene una larga y prolífica historia que la convierte en una de las herramientas de seguridad de red más poderosas en ciberseguridad. Vern Paxson comenzó a desarrollar el proyecto en la década de 1990 con el nombre “Bro”, como un medio para comprender todo lo que sucedía en las redes de su universidad y de los laboratorios nacionales. A finales de 2018, Vern y su equipo de confianza decidieron cambiar el nombre de Bro a Zeek para celebrar su expansión y desarrollo continuo.
Zeek no es un elemento de seguridad activo, como un firewall o un sistema de prevención de intrusiones, sino que reside en un sensor, una plataforma hardware, software, virtual o en la nube que observa el tráfico de la red de manera silenciosa y discreta. Tras interpretar todo lo que ve en la red, Zeek crea logs de cada transacción, de tamaño reducido pero con todos los detalles necesarios, incluyendo el contenido de los archivos. La salida es totalmente personalizable para que pueda ser revisada tanto de forma manual como utilizando una herramienta más amigable para los analistas, como por ejemplo un sistema de gestión de eventos de información y seguridad (SIEM).
SURICATA
Rápida creación de defensas personalizadas
Suricata es un IDS (sistema de detección de intrusiones) y un IPS (sistema de prevención de intrusiones) de código abierto. Fue desarrollado por la Open Security Foundation (OISF). La primera versión beta fue publicada en diciembre de 2009, mientras que la primera versión estándar salió a la luz en julio de 2010.
Los años de experiencia han convertido a Suricata en un motor de detección de amenazas de red rápido y robusto, siendo además gratuito y de código abierto. El motor de Suricata te permite detectar (IDS) y prevenir (IPS) intrusiones en tiempo real, así como monitorizar la seguridad de la red (NSM) y procesar PCAP offline. Suricata inspecciona el tráfico de la red utilizando un lenguaje de firmas y reglas extenso y potente, y tiene un poderoso soporte de scripting Lua que detecta amenazas complejas.
Además, dado que utiliza formatos de entrada y salida estándar como YAML y JSON, las integraciones con herramientas como SIEM Splunk, Logstash / Elasticsearch, Kibana y otras bases de datos son sencillas.
Suricata y Zeek permiten crear soluciones que se adaptan a su entorno. Puedes cargar cualquier conjunto de reglas de código abierto que desees y luego introducir las alertas en los scripts que hayas escrito para la gestión de eventos. Esta personalización es rápida y tiene un impacto real en la seguridad. Un ejemplo de caso real fue cuando permitió que nuestra comunidad respondiera a la vulnerabilidad Curveball en solo un día.
SENSORES HARDWARE (APPLIANCES) Y SOFTWARE
CORELIGHT AP 5000
- Tráfico monitorizado 100 Gbps+
- Soporta Suricata + Zeek
- Implementación en 15 minutos
CORELIGHT AP 3000
- Tráfico monitorizado 25 Gbps+
- Soporta Suricata + Zeek
- Implementación en 15 minutos
CORELIGHT AP 1001
- Tráfico monitorizado hasta 10Gbps
- Soporta Suricata + Zeek
- Implementación en 15 minutos
CORELIGHT AP 200
- Tráfico monitorizado hasta 2Gbps
- Soporta Suricata + Zeek
- Implementación en 15 minutos
SENSOR VIRTUAL
- Requiere uno de estos entornos:
- Hyper-V en Windows Server 2016+
- VMWare ESXi 6.0+
- Hasta 8 Gbps por instancia
- Implementación en 15 minutos
SOFTWARE SENSOR
- Sensor Software de 8 Gbps
- Implementación en plataformas Linux y contenedores
- Varias licencias disponibles en función del ancho de banda
- Instalación en segundos
CLOUD SENSOR PARA AWS
- Implementación en AWS y AWS GovCloud (EEUU)
- Accede a la red a través de traffic mirrors nativos o soluciones basadas en agentes
- Rápido despliegue
CLOUD SENSOR PARA AZURE
- Implementación en Azure
- Accede a la red a través de soluciones basadas en agentes
- Rápido despliegue
CLOUD SENSOR PARA GCP
- Implementación en Google Cloud Platform
- Accede a la red a través de traffic mirrors nativos o soluciones basadas en agentes
- Rápido despliegue