Streamen Sie Red Sift-Telemetriedaten an Sentinel, Splunk und mehr mit Event Hub

Event Hub ist eine neue Funktion, die strukturierte Sicherheitsereignisse in Echtzeit aus Red Sift-Produkten an die Plattformen streamt, die Sicherheitsteams bereits verwenden: SIEMs, SOARs, XDRs, Ticketing-Tools, Messaging-Plattformen und Cloudspeicher.

Sie ermöglicht eine schnellere und konsistentere Reaktion, indem Telemetriedaten direkt in die Workflows übertragen werden, in denen bereits Erkennung, Triage und Behebung stattfinden. Ob es sich um eine in einem DMARC-Bericht gemeldete nicht autorisierte IP-Adresse, eine verdächtige Domain oder ein unerwartetes Zertifikatsproblem handelt – Event Hub sorgt dafür, dass Red Sift-Signale sofort nach ihrem Auftreten ohne UI-Anmeldung, Abfragen oder Verzögerungen übermittelt werden.

Push-basierte Bereitstellung, strukturiert für nahtlose Integration

Event Hub verwendet eine Push-basierte Architektur, um Ereignisse bei ihrer Entstehung zu streamen. Nach der Konfiguration werden Telemetriedaten direkt an die von Ihnen ausgewählten Ziele übermittelt.

Die Ereignisstrukturen/-schemata basieren auf dem Open Cybersecurity Schema Framework (OCSF) und bieten ein einheitliches Format für alle Red Sift-Produkte, darunter OnDMARC, Brand Trust und Certificates. Diese Standardisierung reduziert den Integrationsaufwand, vereinfacht die Automatisierung und unterstützt die Interoperabilität in modernen Sicherheitsökosystemen.

Unterstützung der Audit-Transparenz vom ersten Tag an

Die erste Version von Event Hub konzentriert sich auf Audit-Protokolle – das Streamen von Benutzer- und Kontoaktivitäten aus Red Sift-Produkten in Ihre bestehenden Sicherheits- und Compliance-Tools. Zu diesen Ereignissen gehören Aktionen wie Benutzeranmeldungen, Domänenhinzufügungen und Konfigurationsänderungen sowie zugehörige Metadaten wie IP-Adressen.

Diese Transparenz hilft Teams bei der Beantwortung wichtiger Fragen wie:

• Wer hat von wo aus auf das Konto zugegriffen?
• Entsprach diese Anmeldung dem erwarteten Verhalten?
• Wann wurde eine Konfigurationsänderung vorgenommen und von wem?

Ganz gleich, ob Sie ungewöhnliche Aktivitäten überwachen, einen Prüfpfad für Compliance-Zwecke führen oder Protokolle für zukünftige Untersuchungen speichern – Event Hub stellt sicher, dass diese Ereignisse in Echtzeit verfügbar sind, ohne dass Daten manuell aus der Red Sift-Benutzeroberfläche extrahiert werden müssen.

Manchmal muss man etwas sehen, um es zu glauben. Sehen Sie sich an, wie Billy McDiarmid, unser VP of Customer Engineering, die Einrichtung von Event Hub erklärt und zeigt, wie Audit-Ereignisse auf den von Ihnen ausgewählten Plattformen angezeigt werden.

An welche Systeme kann Event Hub streamen?

Bei der Einführung können Audit-Protokolle an Splunk, Microsoft Sentinel, Slack, Amazon S3 und ServiceNow gestreamt werden, wobei auch benutzerdefinierte Webhooks unterstützt werden.

• In Microsoft Sentinel wird Red Sift-Telemetrie Teil Ihrer zentralisierten Sicherheitsanalyse und hilft Ihnen dabei, Kontoaktivitäten mit anderen Identitäts-, Geräte- und Cloud-Signalen zu korrelieren.
• In Splunk können Audit-Protokolle zusammen mit anderen Infrastruktur- und Anwendungsereignissen gespeichert, abgefragt und visualisiert werden, was Untersuchungen und Compliance-Berichte unterstützt.

Was kommt als Nächstes: erweiterte Signale und Integrationen

Audit-Protokolle sind bereits heute verfügbar, aber Event Hub kann noch mehr. Zukünftige Versionen werden Unterstützung für Echtzeit-Erkennungsereignisse hinzufügen, zum Beispiel:

• Wenn OnDMARC eine nicht autorisierte Absenderquelle erkennt, kann ein SOAR-Playbook mithilfe der Red Sift-API eine automatisierte Korrektur auslösen.
• Brand Trust-Warnungen können zur Korrelation und Untersuchung an XDR-Plattformen weitergeleitet werden.
• Zertifikat-Telemetrie kann in einem SIEM protokolliert werden, um frühzeitig vor Fehlkonfigurationen oder ablaufenden Assets zu warnen.
• MSSPs können mandantenübergreifende Protokolle in einem gemeinsamen Sicherheits-Data-Lake zentralisieren.

Darüber hinaus sind folgende Integrationen geplant:

• Cisco XDR
• E-Mail

Jetzt für Red Sift-Kunden verfügbar

Um Event Hub in Ihrer Umgebung zu aktivieren oder weitere Informationen zu erhalten, wenden Sie sich an Ihr Red Sift-Konto-Team.

Source: Red Sift-Blog

---