Los datos no estructurados de registro, eventos, paquetes y flujos proceden de diversos elementos de la infraestructura de TI, tanto local como externa. Las fuentes incluyen:
- Aplicaciones
- Infraestructura (servidor, red y almacenamiento)
- Máquinas virtuales
- Contenedores
- Sistemas operativos
- Dispositivos de seguridad
- Nubes
Las aplicaciones también producen una cantidad enorme de datos de eventos que capturan las interacciones de los usuarios. Las soluciones líderes, como las ofrecidas por Splunk y Elastic, han sido eficaces a la hora de ayudar a las organizaciones a aprovechar los datos de registro y eventos para los casos de uso de los análisis de seguridad (SIEM).
Los análisis de seguridad con frecuencia conllevan unos requisitos exigentes para la recolección, la entrega y el análisis de los datos de registro y eventos. La necesidad cada vez mayor de responder a las amenazas cuando se presentan exige un procesamiento de los datos en tiempo real. Para realizar unos análisis de correlación y amenazas eficaces se necesita una captura de datos exhaustiva en todo el entorno digital y la capacidad de mantener un conjunto rico de datos históricos. Los sistemas de datos también tienen que ser resilientes en vista del aumento de los datos y de los cambios constantes en los sistemas de envío de datos y los riesgos y las amenazas siempre presentes.
La detección de amenazas en tiempo real
Los análisis de seguridad pueden exigir una gran cantidad de datos, muchos de ellos en tiempo real. Para permitir unos análisis de seguridad adaptativos es necesario seguir el ritmo de los cambios en su infraestructura digital. Puede diagnosticar y analizar más amenazas con una ingesta muy rápida, para capturar los datos de gran volumen y en rápido crecimiento de registro, paquetes, flujos y eventos. Con un rendimiento all-flash fiable, puede hacer frente a las consultas exigentes y complejas y al procesamiento en tiempo real, que son necesarios para lograr un tiempo medio de detección (MTTD) y un tiempo medio de corrección (MTTR) de las amenazas rápidos.
El contexto histórico
Además de los análisis en tiempo real, debe tener acceso a unos volúmenes de datos históricos para ampliar las funcionalidades de seguridad clave y aplicar técnicas avanzadas como la detección de anomalías y los análisis de comportamiento de usuarios y entidades (UEBA). El hecho de poder recuperar fácilmente los datos históricos permite realizar análisis de periodos más largos de las amenazas avanzadas persistentes (APT), para identificar el posible origen de los accesos no autorizados y no detectados a su propiedad intelectual o a los datos personales o de salud de sus clientes. También simplifica los análisis forenses y la obtención de pruebas en el desafortunado caso de que descubra ataques o vulneraciones.
Puede disfrutar de unos análisis de seguridad más rápidos a cualquier escala si añade blades para aumentar el rendimiento de manera lineal y constante. También puede conservar todos sus datos y permitir que se puedan consultar siempre si aprovecha la escalabilidad elástica de los sistemas de Pure Storage. Las búsquedas y los análisis forenses complejos son más sencillos con un acceso más rápido a los grandes volúmenes de datos históricos y esto permite abordar una mayor variedad de APT y requisitos legales de detección.
Una base resiliente y simplificada
El cambiante panorama digital crea nuevas demandas, como:
- El almacenamiento de datos tiene que poder resistir los cambios previstos e imprevistos.
- El almacenamiento debe ser capaz de añadir fácilmente nuevos tipos de fuentes de datos y de escalarse para capturar rápidamente los conjuntos de datos cada vez más grandes.
- Tiene que minimizar el tiempo de inactividad por mantenimiento previsto e imprevisto, para preservar la disponibilidad de las aplicaciones de seguridad.
- Los aumentos de la capacidad exigen una planificación proactiva para proteger los datos esenciales.
La arquitectura desagregada de Pure separa los recursos de almacenamiento y de computación para permitir una implementación ágil y eficiente de los recursos. Este enfoque maximiza el tiempo de actividad de las aplicaciones, con un escalado y unos reemplazos no disruptivos, y reduce el reequilibrio, la rehidratación de los datos y las operaciones de recompilación, que son muy costosos. Además, Pure1 ofrece una previsión basada en la IA de las necesidades de capacidad, lo que simplifica la planificación de las cargas de trabajo esenciales.