¿Estás visitando desde Argentina?
Ingresá a Linware Argentina ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
BLOG
Detecte la actividad de exfiltración de datos con la nueva integración de Kibana
Publicada el 25/01/2023

¿Los datos de su organización incluyen información confidencial, como propiedad intelectual o información de identificación personal (PII)? ¿Desea proteger sus datos para que no sean robados y enviados (es decir, exfiltrados) a servicios web externos? Si la respuesta a estas preguntas es afirmativa, entonces el paquete de Detección de exfiltración de datos de Elastic puede ayudarlo a identificar cuándo se roban y exfiltran datos empresariales críticos.

¿Qué es la exfiltración de datos?

La exfiltración de datos es la transferencia no autorizada de datos desde un dispositivo o red. En términos simples, es un tipo de pérdida de datos y, para las empresas, también puede significar una exposición al riesgo. La exfiltración de datos puede ser realizada por personas ajenas a una organización que comprometen la red para robar secretos o credenciales de la empresa. Otra forma en que puede ocurrir la filtración de datos es por parte de empleados de una organización que accidentalmente (mediante el uso de su correo electrónico personal o cuenta de almacenamiento en la nube) o intencionalmente mueven datos fuera de los límites de seguridad de la organización.

Una técnica común de exfiltración de datos que se observa en las infracciones es la exfiltración a través de servicios web externos legítimos, como repositorios de códigos (p. ej., GitHub o GitLab), sitios web efímeros como pastebin y servicios de almacenamiento en la nube (p. ej., Google Workspace o Dropbox).

El paquete de detección de exfiltración de datos detecta volúmenes anormales de transferencia de datos a ubicaciones o direcciones IP poco comunes, entre otras anomalías de metadatos de red. A continuación, puede activar alertas para notificarle cuando los datos confidenciales de su organización se hayan exfiltrado a servicios web externos populares.

El paquete ahora está disponible en la aplicación Integraciones en Kibana. Veremos los pasos de instalación a continuación.

Empezando

A partir de Elastic 8.6 , los usuarios pueden instalar el paquete de Detección de exfiltración de datos , que incluye nuevos trabajos y reglas de detección de anomalías, desde la aplicación Integraciones en Kibana. 

Si no tiene un clúster de Elastic Cloud pero desea comenzar a experimentar con el paquete, puede iniciar una prueba gratuita de 14 días de Elastic Cloud.

Paso 1: Instalación de los recursos del paquete

En Kibana, la aplicación de integraciones ahora incluye el paquete de detección de exfiltración de datos. Para instalar los activos, haga clic en el botón Instalar activos de exfiltración de datos en la pestaña Configuración . Esto instalará todos los artefactos necesarios para generar alertas cuando se detecte actividad de exfiltración de datos en los datos de su red.

 

Paso 2: Ejecutar la detección de anomalías

El paquete incluye varios trabajos de detección de anomalías preconfigurados. Estos trabajos le permiten encontrar la transmisión de volúmenes sospechosos de tráfico a ubicaciones geográficas, direcciones IP y puertos específicos.

Para ejecutar estos trabajos en los datos de su red, vaya a Aprendizaje automático > Detección de anomalías . Cuando crea un trabajo con el asistente de trabajo, debería ver una opción para Usar trabajos preconfigurados con una tarjeta para la Detección de filtración de datos.

Después de seleccionar la tarjeta, verá varios trabajos de detección de anomalías preconfigurados que se pueden ejecutar.

Paso 3: habilitar las reglas

Ahora que ha habilitado los trabajos, es posible que desee generar alertas para la actividad de exfiltración de datos en su entorno. Para generar alertas, deberá habilitar las reglas de detección instaladas. Las reglas se activan cuando las tareas de detección de anomalías que configuró en el Paso 2 identifican anomalías con puntajes por encima de cierto umbral. La lista completa de reglas instaladas se puede encontrar en la página Descripción general del paquete mismo.

Para habilitar y usar las reglas instaladas, vaya a Seguridad > Reglas (bajo el subtítulo Detectar) y seleccione Cargar reglas precompiladas elásticas y plantillas de escala de tiempo . Si está ejecutando en Elastic Cloud, este paso se realiza automáticamente.

Puede encontrar las reglas correspondientes a la detección de filtración de datos filtrando en la etiqueta de filtración de datos. Para habilitar reglas específicas, active el interruptor Habilitado correspondiente a la regla.

 
Para habilitar todas las reglas a la vez, seleccione todas las reglas que desea modificar, luego seleccione Habilitar en el menú Acciones masivas.
 

Responder a eventos de exfiltración de datos

Las alertas generadas por las reglas habilitadas en el Paso 3 se pueden ver en la página Alertas:

 
El menú desplegable Alertas muestra además detalles útiles sobre la alerta, como los motivos de la alerta, la prevalencia, etc., que pueden servir como indicadores para una mayor investigación.
 
Además, para visualizar todas las anomalías relacionadas con la exfiltración de datos, vaya a Aprendizaje automático > Detección de anomalías > Explorador de anomalías . Aquí, puede ver una lista de anomalías, la gravedad, el trabajo que detectó la anomalía y las personas influyentes, que son factores que influyeron en la anomalía.
 

Ponerse en contacto con Elastic

Puede pruebar el paquete de Detección de exfiltración de datos y enviar sus comentarios mientras se trabaja para agregarle nuevas capacidades. Si tiene algún problema durante el proceso, comuníquese con Elastic en el canal comunitario de Slack , foros de discusión o el repositorio de detecciones abiertas .

Ir al Blog