Partner Blog

Riepilogo ThreatSync Q1: avvisi più intelligenti, maggiore controllo e migliore visibilità

11 Aprile 2025 Di Stephen Helm
ThreatSync logo on top of a bursting white pattern of lights on a dark blue background

Benvenuti al primo riepilogo trimestrale di ThreatSync! In questo articolo forniremo una sintesi delle ultime funzionalità introdotte negli ultimi mesi. Questo trimestre, ThreatSync ha introdotto diversi miglioramenti volti a migliorare l'efficienza, aggiungere controllo e fornire approfondimenti più dettagliati.

Questo trimestre segna anche il secondo anniversario del lancio di ThreatSync Core, la nostra soluzione XDR nativa inclusa in WatchGuard Cloud. Dal suo lancio, abbiamo promosso una maggiore integrazione tra i livelli di sicurezza WatchGuard, semplificato i flussi di lavoro degli analisti e migliorato il sistema di punteggio delle minacce. Inoltre, abbiamo introdotto un motore AI all'avanguardia, ThreatSync+.

Oggi, i partner WatchGuard si affidano alle nostre soluzioni XDR e NDR per proteggere oltre 150.000 utenti in tutto il mondo, e il numero aumenta ogni giorno.
 

Panoramica della release trimestrale

snapshot TS

WatchGuard ThreatSync +

Alert migliorati e nuove regole di notifica

Abbiamo introdotto nuove regole di notifica per DHCP, NetFlow e NDR Heartbeat per aiutare a rilevare quando le fonti di log smettono di inviare dati. È anche possibile silenziare le notifiche di errore del collector e configurare quali fonti di log devono avere le notifiche di errore del collector silenziate.

Nuovi trigger di notifica:

DHCP

  • Log ricevuti/non ricevuti dalla fonte
  • Monitoraggio dei log

 

NetFlow

  • Log ricevuti/non ricevuti dalla fonte
  • Monitoraggio dei log

 

NDR Heartbeat 

  • Nessun heartbeat rilevato
  • Heartbeat ripristinato

 

Approfondimenti ampliati sulle politiche basate sul traffico

Comprendere l'attività di rete è fondamentale per il rilevamento delle minacce. ThreatSync+ ha introdotto una colonna "Attività" nella pagina "Dettagli avvisi policy", mostrando l'attività totale di destinazione per ogni fonte. Questo miglioramento fornisce informazioni chiare sul comportamento della rete, facilitando l'identificazione di potenziali minacce.

Registri grezzi, contesto reale

L'accesso ai dati di log grezzi è essenziale per un'analisi completa degli incidenti. ThreatSync + SaaS ora consente l'accesso diretto ai log grezzi di Microsoft 365, consentendo un'analisi dettagliata delle attività dei documenti e degli utenti. Questa funzionalità è particolarmente utile per indagare su anomalie, come accessi imprevisti, fornendo il contesto necessario per un processo decisionale informato.

Notifiche JSON

Per le organizzazioni che utilizzano sistemi SIEM (Security Information and Event Management), integrare diversi formati di dati può essere complicato. ThreatSync + ora supporta le email di notifica delle regole in formato JSON, facilitando l'integrazione con gli strumenti SIEM e migliorando l'interoperabilità dei dati.

WatchGuard ThreatSync Core

Ruoli personalizzati, le tue regole

L'implementazione di un controllo granulare degli accessi è una componente fondamentale della gestione delle identità e degli accessi. Permette alle organizzazioni di definire autorizzazioni precise per utenti e gruppi. ThreatSync Core ora consente la creazione di ruoli di operatore personalizzati con controlli di accesso dettagliati su diverse aree funzionali. Ciò garantisce che i membri del team dispongano di livelli di accesso appropriati, migliorando la sicurezza e l'efficienza operativa.

Riclassificazione degli incidenti

Ora, quando WatchGuard Endpoint Security termina di classificare un file , ThreatSync Core:

  • Ricalcola il punteggio di rischio
  • Aggiorna la tipologia di incidente
  • Ripete le policy di automazione in base al nuovo verdetto


In questo modo la coda degli incidenti rimane precisa: non dovrai più inseguire ombre che si sono rivelate amichevoli.


Accesso alle credenziali


Con questa versione, AuthPoint alimenta ThreatSync Core con informazioni essenziali sulle minacce relative ad attività, eventi e segnali di accesso alle credenziali, per la correlazione e il punteggio di rischio. Insieme, ThreatSync Core e Credential Access forniscono avvisi tempestivi per consentire ai team IT di intervenire per proteggere la base installata di AuthPoint MFA.


Gli incidenti di accesso alle credenziali includono


1.    Tentativi di accesso con password errata
2.    L'utente ha ricevuto troppe notifiche push
3.    Autenticazione negata dalla policy AuthPoint
4.    Token bloccato da troppe autenticazioni non riuscite
5.    Utente disabilitato spingere notifiche
6.    Tentativo di autenticazione da parte di un utente sconosciuto


Conclusione


Questi miglioramenti riflettono il nostro impegno nel fornire strumenti che non solo migliorino il livello di sicurezza, ma che migliorino anche l'efficienza e il benessere dei team di sicurezza. Affrontando problematiche comuni come l'affaticamento da avvisi, la gestione dei log e il controllo degli accessi, ThreatSync mira a consentire alle organizzazioni di affrontare il complesso panorama della sicurezza informatica in modo più efficace.


Stay tuned per ulteriori aggiornamenti sulla famiglia di prodotti WatchGuard ThreatSync!
 

 

Classificati sotto: XDR, Endpoint Security, Detection & Response, NDR, Informazioni sul prodotto
Blog Home

Posts correlati

Blog Home