La Oficina de Información y Telecomunicaciones de Dakota del Sur (BIT) brinda servicios de calidad al cliente y asociaciones para garantizar que la organización de TI de Dakota del Sur sea receptiva, confiable y esté bien alineada para respaldar las necesidades comerciales del gobierno estatal.

El BIT cree que "la gente debería estar en línea, no esperando en la fila".

Los objetivos de la oficina para los 885,000 residentes del estado incluyen: 

• Brindar servicios valiosos a costos económicos
• Construir y retener una fuerza laboral altamente calificada
• Proporcionar una infraestructura moderna, segura y confiable

Cuando se trata de cumplir con el objetivo de una infraestructura gubernamental segura, el BIT descubrió que su solución SIEM heredada no podía monitorear y alertar adecuadamente en todos los puntos finales asociados con más de 9,000 sistemas. El BIT eligió Elastic porque necesitaba una mejor herramienta para mitigar las amenazas: una solución rentable con visibilidad mejorada para identificar rápidamente los problemas y vulnerabilidades de seguridad de los endpoints.

Además, la nueva solución necesitaba proporcionar visibilidad para los puntos finales dentro del entorno del estado, así como para los sistemas remotos utilizados por los empleados que trabajan fuera de la oficina. 

“Necesitábamos tiempos de respuesta a incidentes más rápidos porque nuestro SIEM en ese momento no podía manejar la carga. Y también volver a los costos fiscales para incorporar todos los registros de terminales fue todo un desafío. Así que necesitábamos buscar una solución alternativa para obtener tiempos de respuesta más rápidos cuando nos enfrentamos a incidentes de seguridad ”, dice Nicholas Penning, ingeniero de tecnología de seguridad para el Centro de operaciones de seguridad de BIT.

Casos de uso de registro de endpoints 

Con un complemento de filtro de mutación en Logstash, los ingenieros pueden implementar un sistema de etiquetado para que los analistas puedan comprender si los eventos provienen del entorno o de forma remota. 

En un ejemplo, los registros críticos que captura BIT en Elasticsearch y los monitores en Kibana son inicios de sesión de Windows fallidos. Esta práctica podría descubrir a alguien sin las credenciales adecuadas que intenta acceder al sistema mediante la fuerza bruta. 

Para el segundo ejemplo, los registros de enlaces y archivos adjuntos en Microsoft Outlook también se analizan para evitar que el malware se filtre en el entorno.

“Ese es un caso de uso muy grande hoy en día porque siempre estamos buscando a aquellos usuarios que pueden estar haciendo clic en enlaces maliciosos”, dice Penning.

Aprovechamiento de la seguridad elástica para SIEM

Aún así, hay más que solo descubrir una URL maliciosa, dice Penning. ¿Qué sucede después del descubrimiento de un enlace malicioso?

“Parece que nadie hizo clic en ese enlace o fue a ese sitio malicioso cuando lo busqué. ¿Pero qué hay de cuatro horas a partir de ahora? ¿O dentro de 10 minutos? ¿Sigues buscando y buscando esas cosas? " Pregunta Penning. 

Al aprovechar las capacidades de detección de Elastic, Penning responde afirmativamente a sus propias preguntas. Eso es porque el BIT crea automáticamente reglas de detección para indicadores de compromiso, como URL maliciosas. 

Cada vez que se apunta la regla de detección para esa URL maliciosa, Kibana enviará una alerta: "Oye, ya conoces esa regla de detección que creamos hace 20 minutos", bromea Penning, "en realidad, acabamos de recibir una respuesta".

Vea la presentación completa para obtener más información sobre cómo South Dakota BIT implementa Elastic Security for SIEM para monitorear y alertar en más de 9,000 terminales y garantizar una infraestructura segura para el gobierno del estado de Dakota del Sur.