La correcta gestión de los datos sobre amenazas es crítica en las operaciones de seguridad actuales y en los SOC modernos. El conocimiento de las amenazas, su prioridad en nuestro entorno, su gestión y la capacidad de analizarlas, nos dará capacidades de anticipación que sin esta gestión, no tenemos.

La plataforma ThreatQ se integra en la arquitectura de ciberseguridad de la empresa para mejorar, acelerar y hacer más productivas las operaciones mediante la ingestión, normalización, priorización y diseminación de la información de inteligencia en toda la infraestructura, así como la automatización y ejecución inteligente de todos estos procesos.

El caso de usuarios de McAfee Enterprise esto es especialmente relevante ya que ThreatQ tiene integración bidireccional con todas sus soluciones, con lo que toda la arquitectura McAfee Enterprise aprovecha todas las ventajas de la plataforma ThreatQ para conseguir una buena implementación de SOAR y XDR basada en la inteligencia sobre los datos.

Data Driven SOAR: ThreatQ provee automatización inteligente avanzada. La gran diferencia con respecto a otras soluciones es la inteligencia aplicada a los datos. ThreatQ permite que se ejecuten los playbooks solo sobre un conjunto muy bien definido de datos que han sido previamente enriquecidos, deduplicados y priorizados para que las tareas a automatizar eleven realmente la productividad de las operaciones ya que se actúa sobre los datos que realmente son prioritarios y relevantes, reduciendo los falsos positivos y negativos. 

XDR: Con esta integración se hace posible la diseminación y análisis de datos de amenazas no solo sobre la infraestructura de McAfee Enterprise sino también con soluciones de terceros. ThreatQ tiene integraciones que permiten este intercambio de información con cientos de soluciones de seguridad además de proveer de un lenguaje que permite crear conectores con soluciones que no estén contempladas en el momento. Así la información sobre amenazas puede fluir de forma bidireccional entre diferentes plataformas y la arquitectura completa de McAfee Enterprise, haciendo el XDR posible y automatizado.

En resumen:

• ThreatQ Hace que la arquitectura de McAfee Enterprise pueda coger información de ciberinteligencia de cualquier fuente y hacerla accionable.
• ThreatQ y McAfee Enterprise tienen un verdadero XDR permitiendo a los clientes adquirir información de cualquier otro producto y viceversa.
• ThreatQ tiene más de 250 integraciones en el Marketplace que ahora pueden hablar con McAfee Enterprise.
• La automatización de tareas y procesos basada en los datos multiplica la productividad de la operaciones y reduce falsos positivos y negativos.

Ventajas de ThreatQ con cada una de las soluciones de la arquitectura McAfee Enterprise:

MVision EDR y ThreatQ

• La integración con ThreatQ permite que MVision EDR consuma inteligencia de amenazas priorizada y no duplicada de más de 130 fuentes diferentes
• Los equipos de IR pueden reducir el tiempo medio de respuesta consultando los endpoints para obtener valores hash y datos de flujo de red.
• Los equipos integrados pueden crear rápidamente investigaciones que sean colaborativas

MVision Cloud y ThreatQ

• La integración con ThreatQ permite a MVision Cloud enriquecer los dominios mediante el registro de la nube, consultar anomalías y actividades de los usuarios
• Mvision Cloud tiene una vista más completa del panorama de amenazas al agregar fuentes externas
• Beneficio para el cliente de poder incluir direcciones IP en la lista negra al acceder a herramientas en la nube como Office365 y AWS

MVision ATD y ThreatQ

• La integración bidireccional permite a ThreatQ enviar archivos a ATD  y obtener resultados para enviar a otros productos en el entorno
• Permite el acceso directo a ATD desde los equipos de IR y Threat Hunting  para enriquecer la inteligencia de la empresa.
• Puede ser utilizado como alimentación por SECOPS para priorizar cualquier detonación interna

McAfee Enterprise Security Manager (ESM) y ThreatQ

• La integración bidireccional permite que ThreatQ envíe inteligencia de amenazas relevante y priorizada por ESM y reciba una visión de lo que está sucediendo en la red.
• El valor de ESM es la reducción del ruido y una mayor precisión al enviar solo información relevante sobre amenazas
• El beneficio para el cliente es permitir que los analistas tomen decisiones mejores y más informadas al proporcionar el contexto y la comprensión de la situación de las amenazas.

McAfee Network Security Manager (NSM) y ThreatQ

• ThreatQ exporta en tiempo real la inteligencia de amenazas relevante a NSM para poner en cuarentena hosts, actualizar las reglas de NSM y Blacklist Hashes
• El valor para NSM es poder obtener y proteger información relevante sobre amenazas de más de 130 fuentes.
• El valor para el cliente es la prevención de ataques basada en la inteligencia de amenazas relevante.

McAfee Threat Intelligence Exchange (TIE) y ThreatQ

• Integración bidireccional que permite que la inteligencia de amenazas priorizada de terceros esté disponible para los agentes de McAfee en DXL.
• El valor para TIE es inteligencia de amenazas relevante y priorizada de más de 130 fuentes comerciales y de código abierto
• El valor para el cliente es la prevención de ataques de inteligencia de terceros.

McAfee Private Global Threat Intelligence (PGTI) y ThreatQ

• Integración bidireccional que permite la inteligencia de amenazas priorizada de terceros disponible dentro de PGTI
• El valor para PGTI es inteligencia de amenazas relevante y priorizada de más de 130 fuentes comerciales y de código abierto
• El valor para el cliente es la prevención de ataques nuevos y desconocidos.

En definitiva, la integración de ThreatQ con la arquitectura de McAfee Enterprise permite a las empresas usuarias de soluciones de McAfee Enterprise poder mejorar y acelerar sus operaciones llevando SOAR y XDR a un nivel superior gracias a la gestión de la ciberinteligencia.

Si queréis información detallada podéis encontrarla en el siguiente enlace: https://www.threatq.com/integrations/mcafee/