Integración de Sumo Logic con el Mercado de Detección de Amenazas

[post-views]
septiembre 25, 2020 · 4 min de lectura
Integración de Sumo Logic con el Mercado de Detección de Amenazas

SOC Prime siempre se esfuerza por extender el soporte para las herramientas de seguridad más populares como SIEM, EDR, NSM y otras, incluidas las soluciones nativas de la nube, para agregar más flexibilidad al Threat Detection Marketplace. Esto permite a los profesionales de seguridad usar las herramientas que prefieren y resuelve el problema de la migración a otro entorno de back-end.

Estamos emocionados de anunciar el lanzamiento de nuestra integración con Sumo Logic, SIEM nativo de la nube, que ofrece capacidades de búsqueda y despliegue mejoradas que permiten a los profesionales de seguridad profundizar en su instancia de Sumo Logic o Cloud Security Enterprise (CSE) al instante.

Sumo Logic es una plataforma nativa de la nube que ayuda a potenciar su análisis de seguridad y permite reducir el MTTI y MTTR mediante el monitoreo en tiempo real.

La integración con la plataforma nativa de la nube Sumo Logic es un paso más hacia la defensa cibernética proactiva, aprovechando las capacidades de análisis en tiempo real junto con el aprendizaje automático y la inteligencia de amenazas de la plataforma.

Threat Detection Marketplace actualmente ofrece más de 6,000 elementos de contenido para Sumo Logic y Sumo Logic CSE que abordan los últimos exploits, CVE, malware y TTPs y cubren 216 de las 249 técnicas ATT&CK® de MITRE:

  • Consultas
  • Consultas CSE
  • Reglas CSE

Configuración de Integración Sumo Logic

SeLa búsqueda o el despliegue de contenido de detección de amenazas adaptado a esta solución nativa de la nube requiere una configuración adecuada de Sumo Logic. Para configurar la integración de Sumo Logic, seleccione Configuración de Integración de Plataforma del menú de configuración del usuario.

En la Configuración de Integración de Plataforma configuración, puede establecer dos integraciones diferentes dependiendo del tipo de contenido de Sumo Logic que desee desplegar:

  • Para las consultas, necesita configurar la integración Sumo Logic
  • Para las consultas y reglas CSE, necesita configurar la integración con el Sumo Logic CSE

Para configurar la integración para Sumo Logic CSE, seleccione la Casilla de Configuración de Sumo Logic CSE , y complete los Portal URL and Token API campos requeridos, y luego haga clic en el Guardar Cambios botón.

Una vez configurado, verá la notificación de éxito, y estará listo para comenzar con su experiencia de detección de amenazas.

Desplegando Contenido de Sumo Logic, Reglas y Consultas CSE en su Instancia

Puede filtrar todo el contenido de Threat Detection Marketplace por las consultas y reglas CSE de Sumo Logic usando el panel de Filtros para obtener contenido más específico a la plataforma.

Al seleccionar la regla específica que se puede ajustar al formato SIEM de Sumo Logic o Sumo Logic CSE, puede aprovechar al máximo el despliegue de contenido racionalizado directamente en su instancia SIEM.

Búsqueda y Despliegue de Consultas

Threat Detection Marketplace permite buscar o desplegar consultas Sigma en su instancia Sumo Logic. Deseleccionar el pestaña de Consulta en la página de la regla, y luego hacer clic en el Buscar/Desplegar en Sumo Logic botón.

En la ventana emergente que aparece, verifique la consulta que va a buscar o desplegar, y realice cambios en ella si es necesario. Seleccione la acción que va a realizar con la consulta haciendo clic en el botón correspondiente:

  • Buscar en Mi Sumo Logic (cubre el período de 24 horas)
  • Desplegar en Mi Sumo Logic


Una vez que el despliegue o búsqueda de la consulta sea exitoso, verá una notificación de éxito que permite profundizar en su instancia de Sumo Logic con la consulta desplegada o ejecutada.

La notificación de despliegue exitoso también incluirá un enlace que lo lleva al directorio dentro de su instancia de Sumo Logic con la consulta desplegada.

Desplegando Reglas y Consultas CSE

La integración mejorada de Sumo Logic con Threat Detection Marketplace permite desplegar reglas CSE al instante directamente en su instancia de Sumo Logic CSE. El despliegue automático de reglas es posible con la integración de API de CSE habilitada para reglas CSE.

Para probar el despliegue racionalizado de reglas, seleccione la pestaña Regla CSE y haga clic en el Desplegar en Sumo Logic CSE botón.


Luego se moverá directamente a su instancia de Sumo Logic CSE donde puede ver y gestionar sus elementos de contenido desplegados.


Las consultas CSE solo pueden desplegarse manualmente ya que no hay configuración de API disponible para este tipo de contenido. Para desplegar consultas CSE, seleccione la pestaña Consulta CSE , haga clic en el Copiar al Portapapeles botón, y luego pegue el código directamente en su instancia Sumo Logic CSE para la nueva condición de Regla.

¿Busca más contenido de detección de amenazas? Regístrese en Threat Detection Marketplace para aprovechar más de 70,000 reglas, consultas, guías de ejecución automática y otros elementos de contenido seleccionados que abordan los últimos ataques y están personalizados para su entorno.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

SOC Prime y Humio: Aspectos Técnicos Destacados
Blog, Plataforma SOC Prime — 11 min de lectura
SOC Prime y Humio: Aspectos Técnicos Destacados
Alla Yurchenko