Resumen
La telemetría de seguridad es otra medida de seguridad de nos brinda nuestra consola de Bitdefender, la cuál brinda acceso a datos subyacentes relacionados con eventos de seguridad, con lo que puede crear correlaciones personalizadas, en este artículo se le mostrará como funciona y como se puede configurar en nuestra consola.
Detalles
Nota
Esta función requiere una licencia EDR y está disponible solo para endpoints de
Windows.
¿Como funciona?
Para garantizar el mejor rendimiento y huella de datos, los agentes remiten solo
los eventos relevantes para la seguridad de su red. Tales eventos se refieren a lo
siguiente:
- Procesos: creación y finalización
- Archivos: creación, lectura, modificación, traslado y eliminación
- Registro: creación o eliminación de claves y modificación o eliminación de
valores - Acceso de usuarios: inicio de sesión
- Conexión de red
El agente de Bitdefender envía esta información en un formato estándar (JSON,
CEF) directamente a la solución SIEM que utilice.
¿Como configurarla?
Lo primero que debemos de hacer es ingresar a nuestra consola del bitdefender, una vez adentro vamos a buscar la sección de Políticas.
Dentro de la sección políticas buscaremos la política a la que le vamos a configurar la telemetría de seguridad o bien si vamos a crear una política nueva como en este caso, seleccionamos Añadir.
Ahora, en las configuraciones de las políticas buscaremos la que dice “General”.
Y en General nos saldrá la opción de Telemetría de seguridad
En este punto ya estaremos listo para proceder a configurar la Telemetría de seguridad, la seleccionaremos y se nos abrirá la siguiente sección.
Primero seleccionaremos la casilla que activa o desactiva toda la telemetría de seguridad, se encuentra en la parte superior a la izquierda.
● Seleccione la solución SIEM a la que vaya a conectarse.
● Indique la URL del servidor SIEM.
● Introduzca el token de autorización que protege la conexión.
Ya que tengamos esto configurado, procederemos a seleccionar los tipos de eventos que se estarán tomando en cuenta para esta sección. Tenemos una gran variedad a seleccionar, los cuáles son los siguientes:
Por último, en comunicación entre endpoints y SIEM, elija si desea utilizar un servidor
proxy.
Para mayor información contactar a servicio@rolosa.com