La nuova release offre sistemi di analisi evoluti e un’architettura di back-end rinnovata per individuare eventuali attacchi mirati

SGBox, azienda italiana specializzata nello sviluppo e gestione di sistemi SIEM, annuncia il rilascio della versione 5 della sua piattaforma di detect and response, con numerose novità e funzionalità dedicate, che consentono di sfruttare al massimo la piattaforma di Security Information and Event Management.

Questa nuova release integra un back-end completamente ridisegnato che offre un incremento delle performance di accesso e storicizzazione dei dati. In particolare, il sistema offre ora una nuova modalità di organizzazione dei log raw e degli eventi mediante strumenti di gestione avanzata dei dati, senza però rinunciare alle funzionalità di protezione (cifratura, firma e timestamping) delle informazioni.

Il nuovo backend consente di ottenere un aumento delle performance nell’estrazione e nell’analisi, anche operando su centinaia di milioni di eventi. È stata inoltre introdotta una funzionalità di riconoscimento automatico e configurazione delle fonti dati note, per minimizzare il processo di setup iniziale e di aggiornamento delle configurazioni.

Accesso ai dati più immediato con la nuova SGBox v5

La nuova edizione della soluzione SIEM SGBox offre numerosi miglioramenti nell’interfaccia utente, con ottimizzazioni e nuove funzionalità di root cause analysis delle dashboard e la possibilità di eseguire ricerche complesse con operatori logici.

Per quanto riguarda la modalità multi-tenant, SGBox v5 introduce una serie di novità mirate a rendere più immediato l’accesso ai dati. Tra le funzionalità principali, la possibilità di gestire i tenant in un’unica console e in modo centralizzato in caso di incidenti, ma anche la definizione di amministratori per diversi gruppi e di configurazioni effettuate contemporaneamente su più tenant o su singoli utenti degli stessi.

Sotto il profilo tecnico, invece, l’azienda ha integrato nuove funzioni pensate specificatamente per gli ambienti Microsoft. In particolare, è stato potenziato il rilevamento di potenziali minacce sugli endpoint introducendo numerose regole di correlazione predefinite e mappatura delle minacce su MITRE ATT&CK, oltre al monitoraggio delle modifiche a file sensibili. È stato inoltre migliorato il supporto per i feed di terze parti che consente di affinare le correlazioni e la raccolta dei possibili indici di compromissione (IOC) attraverso l’indicizzazione di URL, indirizzi IP e domini considerati potenzialmente pericolosi.

Come sottolineato in una nota ufficiale da Massimo Turchetto, CEO e Founder di SGBox: «Per identificare un attacco mirato all’interno dei propri sistemi informatici è necessario avere la massima visibilità dei possibili punti vulnerabili. Abbiamo pensato di rispondere a queste esigenze combinando la telemetria generata da uno strumento software che Microsoft mette a disposizione per gli endpoint con le funzionalità di analisi tipiche di una piattaforma SIEM».