BLOG

SEGUNDA PARTE: Threat Stack publica un nuevo contexto de alerta para MTTK reducido

Miniatura F5
F5
Actualizado el 18 de julio de 2022

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .

Como se analizó en la primera parte de esta serie, Threat Stack se ha comprometido a realizar cambios significativos en su interfaz de usuario (UI), incluido el contexto de alerta, para reducir aún más las métricas de seguridad clave, como el tiempo medio de conocimiento (MTTK). Esto es importante porque cada minuto, si no cada segundo, cuenta cuando se trata de identificar posibles riesgos de seguridad. Sin embargo, según IBM , el tiempo promedio para identificar una violación en 2020 fue de 207 días. Para evitar que nuestros clientes caigan en esta alarmante estadística, hemos lanzado nuevos cambios fundamentales en nuestra interfaz de usuario para brindar una experiencia mejorada y brindar mayor seguridad, lo que a su vez reduce el MTTK. Vamos a explorar. 

Presentación del contexto de alerta 

Cuando un cliente recibe una notificación de una nueva alerta y comienza el flujo de trabajo de clasificación y respuesta, Threat Stack Cloud Security Platform® puede agrupar las alertas por indicadores comunes, como cumplimiento y proceso, y luego crea visualizaciones, como mapas de calor y gráficos de tendencias, para brindar información sobre las tendencias de alertas en cuanto a frecuencia y volumen. Además, los eventos que contribuyen se correlacionan con las alertas para proporcionar un registro de actividad para guiar las investigaciones.

Gracias a los comentarios de los usuarios de Threat Stack, reconocimos que las preguntas comunes suelen surgir al navegar por las investigaciones y el triaje de alertas. Por lo tanto, agregamos una nueva funcionalidad de contexto de alerta que estandariza estas preguntas comunes y brinda respuestas proactivas de forma predeterminada a nuestros usuarios. El contexto de alerta ayuda a guiar de forma rápida y precisa las investigaciones de nuestros usuarios sobre alertas de alta gravedad.

Nuevas funciones de contexto de alerta: Aspectos destacados, visualizaciones y tablas

Para adaptarnos a nuestro nuevo contexto de alerta, tuvimos que rediseñar la forma de mostrar nuestros completos datos de alerta. Reconocimos que la vista actual debía ampliarse para hacer espacio para nuestra nueva funcionalidad que mostraba ocurrencias de eventos para varios tipos de actividades, como alertas destacadas, nuevas visualizaciones y tablas. Como resultado, pasamos de mostrar alertas en una vista de cajón horizontal a una vista de cajón vertical más espaciosa y moderna, que permite a los usuarios ver los detalles de alerta pertinentes y al mismo tiempo ver la tabla de alertas de alto nivel.

Una de las nuevas funciones que podemos agregar con el espacio adicional son las alertas destacadas. Esta nueva capacidad puede complementar el contexto del momento actual con un resumen de la actividad histórica relacionada con la alerta. Esto proporcionará a nuestros usuarios contexto sobre la infraestructura, los usuarios y la actividad del proceso, ofreciendo una orientación crucial durante las investigaciones de seguridad del último mes.

Por ejemplo, en lugar de navegar a través de una multitud de eventos relacionados con la actividad de un usuario específico, Threat Stack proporciona un resumen de la alerta en sí, como el siguiente:

Ejemplo de una alerta de usuario específica destacada en la Plataforma de seguridad en la nube Threat Stack

Los aspectos destacados también aparecen encima de nuestras visualizaciones para resumir la actividad relacionada con el comportamiento del usuario, agente o proceso en un formato legible para humanos. Por ejemplo, lo siguiente aparecería encima de una visualización de histograma que muestra la actividad de un usuario específico:

Ejemplo de resumen del comportamiento de un solo usuario en la plataforma de seguridad en la nube Threat Stack

También hemos introducido una vista de alertas de una sola página, que proporciona a los usuarios visualizaciones como un histograma que puede mostrar la actividad de los usuarios durante los últimos 30 días. El histograma es interactivo y permite a los usuarios hacer zoom e investigar la actividad en fechas de interés. La vista de alertas de una sola página también se puede vincular en profundidad y exportar a PDF, lo que hace que sea fácil compartir alertas de interés, incluido el contexto de la alerta, dentro de la organización o con los auditores.

Ejemplo de una página de alerta de un solo panel con datos de muestra sobre la plataforma de seguridad en la nube Threat Stack

Nuestro compromiso con la innovación en la interfaz de usuario

Permitimos a los clientes navegar y gestionar sus alertas sin problemas gracias a los numerosos cambios realizados recientemente en la interfaz de usuario de Threat Stack. Nuestro objetivo es reducir el MTTK proporcionando más contexto para que los usuarios puedan clasificar e investigar las alertas rápidamente en nuestra plataforma. Estas actualizaciones son solo el comienzo de nuestra iteración de diseño para las alertas de Threat Stack. 

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .