El an\u00e1lisis de comportamiento, asociado durante mucho tiempo con la detecci\u00f3n de amenazas (es decir, UEBA o UBA), est\u00e1 experimentando un renacimiento. Una vez utilizado principalmente para identificar actividades sospechosas, ahora es siendo reinventado como una poderosa tecnolog\u00eda de posdetecci\u00f3n<\/a> que mejora los procesos de respuesta a incidentes. Al aprovechar los conocimientos de comportamiento durante la clasificaci\u00f3n e investigaci\u00f3n de alertas, los SOC pueden transformar sus flujos de trabajo para que sean m\u00e1s precisos, eficientes e impactantes. Afortunadamente, muchos productos nuevos de ciberseguridad como Analistas de AI SOC<\/a> son capaces de incorporar estas t\u00e9cnicas en sus capacidades de investigaci\u00f3n, permitiendo as\u00ed que los SOC las utilicen en sus procesos de respuesta. <\/p>\n Esta publicaci\u00f3n proporcionar\u00e1 una breve descripci\u00f3n general del an\u00e1lisis de comportamiento y luego analizar\u00e1 cinco formas en que se est\u00e1 reinventando para revolucionar la investigaci\u00f3n de SOC y el trabajo de respuesta a incidentes.<\/p>\n El an\u00e1lisis de comportamiento fue un tema candente en 2015 y promet\u00eda revolucionar las detecciones est\u00e1ticas de SIEM y SOC con detecci\u00f3n din\u00e1mica de anomal\u00edas para descubrir las “inc\u00f3gnitas desconocidas”. En un a\u00f1o, los proveedores de SIEM adquirieron r\u00e1pidamente las plataformas de comportamiento del usuario y pronto el concepto de una lente de comportamiento en los datos de seguridad se extendi\u00f3 a muchas otras categor\u00edas de productos de detecci\u00f3n.<\/p>\n Entonces, \u00bfpor qu\u00e9 ya no causa sensaci\u00f3n?<\/p>\n El an\u00e1lisis del comportamiento es un poco como el microondas en el sentido de que a veces la primera aplicaci\u00f3n de una tecnolog\u00eda no es la mejor. Cuando el ingeniero estadounidense Percy Spencer descubri\u00f3 accidentalmente la tecnolog\u00eda de microondas al notar que el chocolate se derret\u00eda en su bolsillo durante un experimento de tecnolog\u00eda de radio, probablemente no ten\u00eda idea de que revolucionar\u00eda las cocinas de todo el mundo. Inicialmente, los microondas no estaban destinados a cocinar, pero con el tiempo, su practicidad para calentar alimentos se hizo evidente, cambiando la forma en que pensamos sobre su uso. De manera similar, el an\u00e1lisis de comportamiento se dise\u00f1\u00f3 originalmente como una herramienta de detecci\u00f3n en ciberseguridad, destinada a detectar amenazas en tiempo real. Sin embargo, este uso temprano requiri\u00f3 una configuraci\u00f3n y un mantenimiento exhaustivos y, a menudo, abrumaba a los equipos de seguridad con falsos positivos. Ahora, el an\u00e1lisis del comportamiento ha encontrado un papel mucho m\u00e1s eficaz en el an\u00e1lisis posterior a la detecci\u00f3n. Al reducir el alcance del an\u00e1lisis para proporcionar informaci\u00f3n sobre alertas de seguridad espec\u00edficas, ofrece informaci\u00f3n de alto valor con menos falsas alarmas, lo que la convierte en una parte invaluable del proceso de respuesta a incidentes en lugar de una fuente constante de ruido.<\/p>\n A continuaci\u00f3n se presentan cinco formas clave en las que el an\u00e1lisis del comportamiento est\u00e1 mejorando la respuesta a incidentes, ayudando a los equipos de seguridad a responder con mayor velocidad y precisi\u00f3n.<\/p>\n Uno de los mayores desaf\u00edos en la respuesta a incidentes es examinar los falsos positivos para identificar amenazas reales. Con el an\u00e1lisis de comportamiento posterior a la detecci\u00f3n, los analistas pueden responder preguntas contextuales clave que aportan claridad a las investigaciones de incidentes. Sin comprender c\u00f3mo se comporta normalmente un usuario, entidad o sistema, es dif\u00edcil discernir si una alerta indica una actividad leg\u00edtima o una amenaza potencial. <\/p>\n Por ejemplo, una alerta de “viaje imposible”, que a menudo genera falsos positivos, se\u00f1ala inicios de sesi\u00f3n desde ubicaciones a las que es humanamente imposible llegar en poco tiempo (por ejemplo, un inicio de sesi\u00f3n en Nueva York seguido de uno en Singapur cinco minutos despu\u00e9s). Las l\u00edneas de base de comportamiento y la actividad proporcionan datos \u00fatiles para evaluar eficazmente estas alertas, como por ejemplo:<\/p>\n El an\u00e1lisis del comportamiento se vuelve poderoso en la investigaci\u00f3n al proporcionar un contexto que permite a los analistas filtrar los falsos positivos al confirmar los comportamientos esperados, especialmente con alertas como la identidad que de otro modo ser\u00edan dif\u00edciles de investigar. De esta manera, los equipos SOC pueden centrarse en los verdaderos aspectos positivos con mayor precisi\u00f3n y confianza.<\/p>\n Algunas alertas, en particular las relacionadas con el comportamiento del usuario, requieren que los analistas de SOC se comuniquen con los usuarios finales para obtener informaci\u00f3n adicional. Estas interacciones pueden ser lentas, frustrantes y, a veces, infructuosas si los usuarios dudan en responder o no tienen claro lo que se les pregunta. Al utilizar modelos de comportamiento que capturan patrones t\u00edpicos, las herramientas SOC impulsadas por IA pueden responder autom\u00e1ticamente a muchas de estas preguntas contextuales. En lugar de esperar a preguntar a los usuarios: “\u00bfEst\u00e1s viajando actualmente a Francia?” o “\u00bfest\u00e1s usando Chrome?” el sistema ya lo sabe, lo que permite a los analistas continuar sin interrupciones para el usuario final, lo que agiliza la investigaci\u00f3n.<\/p>\n La velocidad de respuesta a un incidente est\u00e1 dictada por la tarea m\u00e1s lenta del proceso. Los flujos de trabajo tradicionales a menudo implican tareas manuales repetitivas para cada alerta, como profundizar en datos hist\u00f3ricos, verificar patrones normales o comunicarse con los usuarios finales. Con herramientas de inteligencia artificial capaces de realizar an\u00e1lisis de comportamiento posteriores a la detecci\u00f3n, estas consultas y comprobaciones se automatizan, lo que significa que los analistas ya no necesitan ejecutar consultas manuales lentas para comprender los patrones de comportamiento. Como resultado, los equipos de SOC pueden clasificar e investigar alertas en menos tiempo, lo que reduce significativamente el tiempo medio de respuesta (MTTR) de d\u00edas a solo minutos.<\/p>\n El an\u00e1lisis del comportamiento permite a los SOC capturar una amplia gama de conocimientos que, de otro modo, quedar\u00edan inexplorados. Por ejemplo, comprender el comportamiento de las aplicaciones, los patrones de ejecuci\u00f3n de procesos (como si es com\u00fan ejecutar firefox.exe desde una ubicaci\u00f3n determinada) o las interacciones del usuario pueden proporcionar un contexto valioso durante las investigaciones. Si bien estos conocimientos suelen ser dif\u00edciles o llevar mucho tiempo para recopilarlos manualmente, las herramientas SOC con an\u00e1lisis de comportamiento posteriores a la detecci\u00f3n integrados pueden analizar e incorporar autom\u00e1ticamente esta informaci\u00f3n en las investigaciones. Esto brinda a los analistas informaci\u00f3n que de otro modo no tendr\u00edan, lo que permite una toma de decisiones m\u00e1s informada durante la clasificaci\u00f3n de alertas y la respuesta a incidentes.<\/p>\n La creaci\u00f3n y el mantenimiento de modelos de comportamiento es un proceso que requiere muchos recursos y que a menudo requiere una cantidad significativa de almacenamiento de datos, potencia de procesamiento y tiempo de analista. Muchos SOC simplemente no tienen la experiencia, los recursos o la capacidad para aprovechar los conocimientos de comportamiento para las tareas posteriores a la detecci\u00f3n. Sin embargo, las soluciones AI SOC equipadas con an\u00e1lisis de comportamiento automatizados permiten a las organizaciones acceder a estos beneficios sin aumentar los costos de infraestructura o la carga de trabajo humano. Esta capacidad elimina la necesidad de almacenamiento adicional y consultas complejas, brindando informaci\u00f3n sobre el comportamiento para cada alerta en cuesti\u00f3n de minutos y liberando a los analistas para concentrarse en tareas de mayor valor.<\/p>\nEl an\u00e1lisis del comportamiento ha vuelto, pero \u00bfpor qu\u00e9?<\/h2>\n
Cinco formas en que el an\u00e1lisis del comportamiento est\u00e1 revolucionando la respuesta a incidentes<\/h2>\n
1. Mejorar la precisi\u00f3n en la investigaci\u00f3n de incidentes<\/strong><\/h3>\n
\n
2. Eliminar la necesidad de contactar a los usuarios finales<\/strong><\/h3>\n
3. Tiempo medio de respuesta m\u00e1s r\u00e1pido (MTTR)<\/strong><\/h3>\n
4. Informaci\u00f3n mejorada para una investigaci\u00f3n m\u00e1s profunda<\/strong><\/h3>\n
5. Mejor utilizaci\u00f3n de recursos<\/strong><\/h3>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Cinco-formas-en-que-el-analisis-del-comportamiento-esta-revolucionando.png\")
<\/a><\/td>\n<\/tr>\n