LevelBlue USM Anywhere, anteriormente conocido como AlienVault USM Anywhere y posteriormente AT&T Cybersecurity USM Anywhere, representa una solución consolidada en el panorama de la gestión de seguridad.
Esta evolución de marca refleja cambios organizacionales y una alineación estratégica en el mercado de la ciberseguridad, manteniendo la continuidad y el reconocimiento del producto USM Anywhere como una plataforma central.
Fundamentalmente, USM Anywhere se ofrece como una solución Software-as-a-Service (SaaS).
Este modelo implica que LevelBlue gestiona la infraestructura subyacente, incluyendo el hardware, el software base, las actualizaciones de la plataforma y el mantenimiento continuo, todo ello operado desde su LevelBlue Secure Cloud.
Esta aproximación contrasta con soluciones tradicionales on-premises, como la variante USM Appliance 2, liberando a los equipos de TI de los clientes de una carga operativa significativa.
La naturaleza SaaS de USM Anywhere no solo facilita una implementación más rápida, sino que también asegura que la plataforma se mantenga actualizada con las últimas capacidades y parches de seguridad sin intervención directa del cliente.
Esta tendencia hacia soluciones de seguridad gestionadas en la nube ofrece ventajas inherentes de escalabilidad, permitiendo a las organizaciones ajustar sus recursos de seguridad según sus necesidades cambiantes, y una reducción en la complejidad de la gestión de la infraestructura de seguridad.
La adopción de un modelo SaaS para una plataforma de seguridad tan completa como USM Anywhere es indicativa de un movimiento más amplio en la industria.
Las organizaciones buscan cada vez más soluciones que minimicen la sobrecarga administrativa y permitan a sus equipos de seguridad centrarse en la detección, análisis y respuesta a amenazas, en lugar de en el mantenimiento de la infraestructura.
USM Anywhere, por lo tanto, se posiciona como una oferta estratégica que responde a la creciente demanda de capacidades de seguridad avanzadas entregadas de una manera eficiente y flexible a través de la nube.
Descripción General de la Plataforma (SIEM/XDR)USM Anywhere se define como una plataforma unificada de gestión de seguridad (Unified Security Management – USM) que integra de forma nativa capacidades de Gestión de Información y Eventos de Seguridad (SIEM) y de Detección y Respuesta Extendidas (XDR).
Esto significa que no solo centraliza y analiza logs como un SIEM tradicional, sino que también incorpora funcionalidades avanzadas de detección en múltiples capas (red, endpoint, nube) y facilita la respuesta a incidentes, características propias de una solución XDR.
Una de las características más destacadas de USM Anywhere es su capacidad para proporcionar visibilidad unificada a través de entornos tecnológicos heterogéneos.
La plataforma está diseñada para monitorizar infraestructuras completamente en la nube (AWS, Azure, GCP), entornos on-premises (virtuales y físicos) y arquitecturas híbridas que combinan ambos mundos, todo ello desde una única consola de gestión basada en web, comúnmente referida como “single pane of glass”.
Esta visión centralizada es crucial para las organizaciones modernas, cuyas infraestructuras suelen estar distribuidas y ser complejas, ayudando a eliminar los puntos ciegos de seguridad que pueden surgir al utilizar herramientas de monitorización aisladas para diferentes segmentos del entorno TI.
La plataforma ha sido concebida pensando especialmente en equipos de seguridad que operan con recursos limitados, ya sea en términos de personal, presupuesto o tiempo.
El objetivo es ofrecer una solución robusta y con múltiples capacidades, pero que sea más asequible, rápida de implementar y fácil de utilizar en comparación con el despliegue y la integración de múltiples soluciones de seguridad empresariales especializadas.
La simplificación de la gestión de la seguridad, sin comprometer la profundidad de las capacidades, es un valor fundamental de USM Anywhere.
Capacidades Esenciales Unificadas
La fortaleza de USM Anywhere radica en la integración nativa de múltiples capacidades de seguridad esenciales en una única plataforma. Esta unificación simplifica la gestión, mejora la correlación de datos y reduce la necesidad de que los equipos de seguridad gestionen e integren diversas herramientas puntuales.
Las capacidades clave incluyen:
SIEM y Gestión de Logs: Constituye el núcleo de la plataforma, proporcionando recolección centralizada de logs desde una amplia variedad de fuentes (dispositivos de red, servidores, aplicaciones, servicios en la nube).
Los logs son normalizados a un formato común, enriquecidos con contexto adicional, correlacionados para identificar patrones de amenaza y almacenados de forma segura para análisis forense, investigación de incidentes y cumplimiento normativo.
Descubrimiento de Activos (Asset Discovery): USM Anywhere identifica y cataloga continuamente los activos conectados a la red y presentes en los entornos cloud.
Utiliza múltiples métodos, incluyendo escaneos de red, integración con APIs de proveedores cloud (AWS, Azure, GCP) y descubrimiento a través de logs, para mantener un inventario de activos actualizado y completo, lo cual es fundamental para asegurar una cobertura de monitorización exhaustiva.
Evaluación de Vulnerabilidades (Vulnerability Assessment): La plataforma realiza escaneos de vulnerabilidades, tanto autenticados (con credenciales) como no autenticados, sobre los activos descubiertos. Compara la configuración y el software de los activos con una base de datos de vulnerabilidades conocidas (CVEs) y problemas de configuración comunes para identificar debilidades que podrían ser explotadas por atacantes.
Detección de Intrusiones (IDS): Incorpora múltiples formas de detección de intrusiones:
Network Intrusion Detection System (NIDS): Monitoriza el tráfico de red en busca de firmas de ataques conocidos y actividad maliciosa.
Host-based Intrusion Detection System (HIDS): Analiza la actividad y los logs en los endpoints individuales para detectar comportamientos sospechosos o maliciosos.
Cloud Intrusion Detection (Cloud IDS): Aprovecha los logs y APIs de los proveedores de nube para detectar amenazas específicas en estos entornos.
Detección y Respuesta en Endpoints (EDR): A través de los agentes LevelBlue desplegados en los endpoints, USM Anywhere proporciona capacidades de EDR.
Esto incluye la detección de amenazas avanzadas en el host, la monitorización de la integridad de archivos (FIM) para detectar cambios no autorizados en ficheros críticos, y la capacidad de ejecutar acciones de respuesta directamente en el endpoint.
Monitorización del Comportamiento (Behavioral Monitoring): Analiza los logs de acceso, la actividad de los usuarios (User Behavior Analytics – UBA) y otros eventos para establecer una línea base del comportamiento normal y detectar desviaciones o patrones anómalos.
Esto es útil para identificar amenazas internas, cuentas comprometidas o ataques desconocidos que no coinciden con firmas predefinidas.
Inteligencia de Amenazas Continua: La plataforma se actualiza constantemente con la inteligencia de amenazas más reciente proporcionada por el equipo de investigación de LevelBlue Labs y la comunidad global de Open Threat Exchange (OTX).
Estas actualizaciones incluyen nuevas reglas de correlación, firmas de IDS, indicadores de compromiso (IOCs) y contexto sobre amenazas emergentes.
La integración de estas diversas funcionalidades en una única plataforma cohesiva es un diferenciador clave.
Para las organizaciones, especialmente aquellas con equipos de seguridad más pequeños o con recursos limitados, adoptar USM Anywhere puede significar una reducción considerable en la complejidad y los costos asociados con la adquisición, implementación, integración y mantenimiento de múltiples herramientas de seguridad de diferentes proveedores.
Este enfoque unificado no solo simplifica las operaciones diarias, sino que también mejora la capacidad de correlacionar información de diversas fuentes, lo que lleva a una detección de amenazas más rápida y precisa y a una respuesta a incidentes más eficaz.
Arquitectura y Componentes
Arquitectura de Dos Niveles
USM Anywhere se basa en una arquitectura modular y escalable de dos niveles, diseñada para optimizar la recolección de datos en entornos distribuidos y centralizar el análisis y la gestión en la nube.
Esta estructura es fundamental para su capacidad de monitorizar eficazmente infraestructuras híbridas.
Nivel 1 – Recolección (Sensores y Agentes): Este nivel comprende los componentes que se despliegan directamente en los entornos del cliente. Su función principal es la recolección de datos de seguridad (logs, tráfico de red, actividad de endpoints), la normalización inicial de estos datos a un formato común y su envío seguro hacia el Nivel 2 para su procesamiento.
Los sensores USM Anywhere se instalan en puntos estratégicos de la red o en plataformas de virtualización/cloud, mientras que los agentes LevelBlue se instalan en hosts individuales.
Nivel 2 – Procesamiento Central (LevelBlue Secure Cloud): Este es el núcleo de la plataforma USM Anywhere y reside en la nube, específicamente en infraestructuras de Amazon Web Services (AWS) distribuidas en diversas regiones geográficas para optimizar la latencia y cumplir con requisitos de residencia de datos.
Aquí es donde los datos enviados por los sensores y agentes son recibidos para su análisis avanzado, correlación de eventos, detección de amenazas, generación de alarmas, gestión de vulnerabilidades, almacenamiento a largo plazo y generación de informes.
Es importante destacar que, aunque la plataforma es multi-tenant, los datos de cada cliente se mantienen en contenedores dedicados y aislados para garantizar la privacidad y seguridad.
Esta arquitectura de dos niveles ofrece varias ventajas significativas. Permite que la recolección de datos se realice lo más cerca posible de las fuentes, abarcando una amplia gama de entornos (on-premises, múltiples nubes públicas).
Al mismo tiempo, descarga las tareas de procesamiento intensivo, análisis complejo y almacenamiento masivo a la infraestructura escalable y robusta de la nube.
Esto no solo optimiza el rendimiento, sino que también facilita la gestión centralizada de la seguridad en toda la organización, independientemente de la dispersión geográfica o la complejidad de su infraestructura TI. La capacidad de monitorizar entornos híbridos de manera cohesiva es un resultado directo de este diseño arquitectónico.
B. Sensores USM Anywhere
Los sensores USM Anywhere son componentes vitales de la arquitectura de la plataforma, actuando como los principales recolectores y procesadores de datos en los entornos monitorizados.
Su rol es multifacético e incluye:
Descubrimiento de Activos: Identifican y mapean los dispositivos y sistemas presentes en la red o entorno cloud.
Escaneo de Vulnerabilidades: Realizan análisis de los activos para detectar debilidades de seguridad conocidas.
Monitorización de Red: Capturan y analizan paquetes de red (Network IDS – NIDS) para identificar tráfico sospechoso o malicioso.
Recolección de Logs: Agregan logs de una amplia variedad de fuentes, incluyendo dispositivos de red, servidores, aplicaciones y servicios en la nube.
Normalización de Logs: Transforman los logs recolectados, que provienen de formatos diversos, en una estructura de datos estandarizada. Este paso es crucial para permitir la correlación y el análisis unificado en la nube USM Anywhere.
LevelBlue ofrece diferentes tipos de sensores, cada uno optimizado para un entorno específico, lo que asegura una integración nativa y una recolección de datos eficiente:
Sensor VMware: Para despliegue en entornos virtualizados con VMware ESXi.
Sensor Hyper-V: Para despliegue en entornos virtualizados con Microsoft Hyper-V.
Sensor AWS: Para monitorizar recursos y servicios dentro de Amazon Web Services.
Existe una variante específica para AWS GovCloud.
Sensor Azure: Para monitorizar recursos y servicios dentro de Microsoft Azure. También cuenta con una variante para Azure Government.
Sensor GCP (Google Cloud Platform): Para monitorizar recursos y servicios en Google Cloud.
Dispone de una plantilla para GCP Gov.
La comunicación entre los sensores desplegados en el entorno del cliente y la instancia de USM Anywhere en la nube se realiza de forma segura.
Se utiliza el protocolo TLS 1.2 para cifrar los datos en tránsito, y cada sensor genera un certificado único para autenticarse y establecer esta comunicación segura con el servicio en la nube.
Esto garantiza la confidencialidad e integridad de los datos de seguridad mientras viajan desde el entorno del cliente hasta la plataforma de análisis central.
C. Agentes LevelBlue (USM Anywhere Agents)
Los Agentes LevelBlue (también referidos como USM Anywhere Agents) son un componente de software ligero, basado en la tecnología osquery, que se instala directamente en los endpoints individuales (servidores y estaciones de trabajo) que ejecutan sistemas operativos Windows, Linux o macOS.
Estos agentes extienden las capacidades de detección y respuesta de USM Anywhere hasta el nivel del host, proporcionando una visibilidad más granular y capacidades de acción directa que complementan la monitorización basada en sensores de red.
Las funciones principales de los Agentes LevelBlue incluyen 5:
Endpoint Detection and Response (EDR): Permiten la detección de actividades maliciosas y amenazas avanzadas directamente en el endpoint, donde muchos ataques modernos ejecutan sus fases críticas.
Monitorización de Integridad de Archivos (FIM): Supervisan archivos y registros críticos del sistema en busca de cambios no autorizados, lo cual puede ser un indicador de compromiso o actividad maliciosa.
Monitorización de Activos de Red (desde el Endpoint): Recopilan información sobre la actividad de red y el estado del host desde la perspectiva del propio endpoint.
Recolección de Logs del Host: Recolectan logs específicos del sistema operativo, como los Windows Event Logs, para un análisis centralizado.
Una característica distintiva de los Agentes LevelBlue es que se comunican directamente con la plataforma USM Anywhere en la nube, sin necesidad de que sus datos pasen a través de un sensor USM Anywhere local.
Esto simplifica el despliegue en entornos donde un sensor de red podría no ser práctico, como en endpoints remotos o móviles.
Además, los agentes están diseñados para almacenar datos en caché localmente si la conexión con la nube USM Anywhere se interrumpe temporalmente, asegurando que no se pierdan eventos de seguridad importantes durante periodos de desconexión.
La incorporación de agentes con capacidades EDR nativas es un paso significativo que alinea a USM Anywhere con el concepto de XDR (Extended Detection and Response).
Al extender la visibilidad y la capacidad de respuesta más allá de la red y hacia los endpoints, la plataforma puede abordar de manera más efectiva el ciclo de vida completo de un ataque.
Esto es particularmente relevante para la detección de amenazas modernas como el ransomware, que a menudo se dirige a los endpoints, y los ataques fileless (sin archivos), que operan en la memoria del sistema y pueden evadir las defensas tradicionales basadas en firmas.
La telemetría rica y las capacidades de respuesta en el endpoint proporcionadas por los agentes son cruciales para combatir estas tácticas evasivas.
D. Inteligencia de Amenazas Integrada
La efectividad de cualquier plataforma SIEM/XDR depende en gran medida de la calidad y actualidad de su inteligencia de amenazas.
En un panorama donde las tácticas, técnicas y procedimientos (TTPs) de los atacantes evolucionan constantemente, contar con información actualizada sobre nuevas vulnerabilidades, exploits, indicadores de compromiso (IOCs) y campañas de ataque es fundamental para una detección proactiva y una respuesta eficaz.
USM Anywhere integra inteligencia de amenazas de dos fuentes principales, que se actualizan continuamente para mantener la plataforma al día:
LevelBlue Labs Security Research Team: Este es el equipo de investigación interno de LevelBlue, compuesto por expertos en ciberseguridad dedicados a analizar el panorama global de amenazas.
Su trabajo incluye la investigación de nuevas vulnerabilidades, el análisis de malware, el seguimiento de campañas de ataque y la identificación de TTPs emergentes. Los resultados de esta investigación se traducen en actualizaciones directas para la plataforma USM Anywhere.
Estas actualizaciones pueden incluir:
Reglas de Correlación: Lógica que identifica patrones de eventos complejos indicativos de un ataque.
Firmas IDS: Patrones para detectar tráfico de red malicioso conocido.
Auditorías de Vulnerabilidad: Chequeos para identificar nuevas vulnerabilidades en los sistemas.
Firmas de Descubrimiento de Activos: Para mejorar la identificación de dispositivos y software.
Datos de Reputación IP: Listas de direcciones IP conocidas por estar asociadas con actividades maliciosas.
Plantillas de Informes: Para facilitar la generación de informes relevantes.
Además, LevelBlue Labs proporciona orientación contextual sobre cómo responder a las amenazas detectadas, ayudando a los equipos de seguridad a priorizar y remediar incidentes de manera más eficiente.
Open Threat Exchange (OTX): Descrita como la comunidad de intercambio de inteligencia de amenazas abierta y colaborativa más grande del mundo, OTX cuenta con más de 80,000 participantes en más de 140 países que comparten más de 3 millones de indicadores de amenaza diariamente.
USM Anywhere se integra directamente con OTX, consumiendo “pulsos” de OTX, que son colecciones de IOCs relacionados con amenazas específicas o campañas de ataque.
Estos IOCs pueden incluir hashes de malware, dominios maliciosos, URLs de phishing, direcciones IP de comando y control (C2), entre otros.
La plataforma también utiliza los datos de reputación IP de OTX para enriquecer los eventos. Si un evento involucra una dirección IP con mala reputación, USM Anywhere puede aumentar la prioridad de la alarma asociada, ayudando a los analistas a centrarse en las amenazas más probables.
Para una integración completa y para contribuir a la comunidad (opcional), se recomienda configurar USM Anywhere con una clave API de OTX durante la configuración inicial del sistema.
Esta doble fuente de inteligencia de amenazas (la investigación curada de LevelBlue Labs y la inteligencia masiva y diversa de la comunidad OTX) proporciona a USM Anywhere una base sólida para la detección de una amplia gama de amenazas, desde las más conocidas hasta las emergentes.
E. BlueApps y el Ecosistema de IntegraciónLas BlueApps son un componente clave de la estrategia de USM Anywhere para extender sus capacidades y facilitar la integración con el ecosistema de seguridad y TI existente de una organización.
Se definen como módulos de software o conectores que permiten a USM Anywhere interactuar con una amplia variedad de herramientas de terceros, tanto para la ingesta de datos como para la orquestación de acciones de respuesta.
Las funciones principales de las BlueApps incluyen:
Extracción y Análisis de Datos Externos: Permiten a USM Anywhere recolectar logs y otros datos de seguridad de soluciones de terceros (firewalls, EDRs, plataformas cloud, aplicaciones SaaS, etc.). Estos datos se normalizan y se incorporan al motor de análisis y correlación de USM Anywhere.
Visualización en Dashboards: Los datos recopilados a través de BlueApps pueden visualizarse en los dashboards de USM Anywhere, proporcionando una vista consolidada del estado de seguridad a través de múltiples herramientas.
Orquestación de Acciones de Respuesta: Las BlueApps “Avanzadas” permiten a USM Anywhere enviar comandos o ejecutar acciones en las herramientas de terceros integradas. Esto es fundamental para la automatización y orquestación de la respuesta a incidentes.
La documentación menciona una creciente lista de integraciones a través de BlueApps, incluyendo soluciones populares como:
Productividad y Colaboración: Microsoft Office 365, Google G Suite.
Seguridad de Red: Cisco Umbrella, Palo Alto Networks PAN-OS.14
Gestión de Servicios de TI (ITSM): Jira, ServiceNow.16
Seguridad de Endpoints: Carbon Black EDR, CrowdStrike Falcon, Sophos Central, McAfee ePO.
Gestión de Identidad y Acceso: Okta.
Plataformas Cloud: Integraciones nativas con AWS, Azure, GCP que también pueden considerarse ضمن el concepto de BlueApps en cuanto a la recolección de logs específicos de la nube.
Otras: Akamai Enterprise Application Access y Enterprise Threat Protector.
Un ejemplo práctico de orquestación a través de una BlueApp sería: USM Anywhere detecta un evento de comunicación con un servidor de Comando y Control (C2) de ransomware.
A través de la BlueApp para Cisco Umbrella, USM Anywhere podría enviar automáticamente la dirección IP de ese servidor C2 a Umbrella para que esta bloquee todas las futuras comunicaciones hacia y desde ese dominio o IP en toda la organización.
La filosofía detrás de BlueApps es posicionar a USM Anywhere como una plataforma XDR “abierta”.
En lugar de ofrecer un sistema cerrado que obliga a los clientes a reemplazar todas sus herramientas existentes, USM Anywhere busca integrarse con ellas.
Este enfoque permite a las organizaciones maximizar el valor de sus inversiones previas en seguridad y, al mismo tiempo, aprovechar las capacidades de análisis centralizado y orquestación de USM Anywhere.
Facilita la creación de flujos de trabajo de respuesta a incidentes más coherentes y automatizados que pueden abarcar múltiples productos de diferentes proveedores, mejorando significativamente la eficiencia y la eficacia de las operaciones de seguridad.III. Guía de Instalación y Despliegue
A. Proceso General y Prerrequisitos
El despliegue inicial de USM Anywhere sigue un proceso general estructurado en cuatro tareas básicas, independientemente de la plataforma específica elegida para el sensor:
Recepción del Enlace del Sensor y Código de Activación: Tras el registro en USM Anywhere, el usuario recibe un enlace para acceder a la plantilla o imagen del sensor correspondiente a su entorno y un código de activación.
Aprovisionamiento del Sensor USM Anywhere Inicial: Utilizando el enlace y la plantilla/imagen, se crea la máquina virtual (VM) del sensor dentro de la cuenta de nube o red local del cliente. Se accede a la URL del sensor y se introduce el código de activación para aprovisionar la instancia de USM Anywhere en LevelBlue Secure Cloud.
Configuración del Sensor USM Anywhere con el Setup Wizard: Un asistente de configuración (Setup Wizard), específico para el tipo de sensor, guía al usuario a través de la configuración inicial, que incluye la recolección de logs, la gestión de logs y los escaneos autenticados.
Configuración de la Red para la Recolección de Datos: Se deben realizar configuraciones de red adicionales para asegurar que el sensor pueda recolectar datos de manera óptima.
Los códigos de activación son cruciales en este proceso.
Para el primer sensor desplegado, se utiliza un código inicial (que suele comenzar con “C”) proporcionado por LevelBlue. Este código no solo activa el sensor, sino que también aprovisiona la nueva instancia de USM Anywhere en la nube, definiendo atributos como el número de sensores permitidos, la capacidad de almacenamiento y la cuenta de correo electrónico del usuario administrador inicial.
Para sensores adicionales que se añadan posteriormente a una instancia ya existente, se deben generar nuevos códigos de activación (que suelen comenzar con “S”) desde la interfaz web de USM Anywhere.37Antes de iniciar el despliegue, es fundamental cumplir con ciertos prerrequisitos generales:
Credenciales Administrativas: Se requieren credenciales con privilegios administrativos para los sistemas operativos donde se realizarán escaneos autenticados (por ejemplo, credenciales SSH para Linux y WinRM para Windows). Estos escaneos son necesarios para una evaluación de vulnerabilidades completa y para recopilar información detallada del software y servicios en ejecución.
Conectividad a Internet: Los sensores USM Anywhere deben tener conectividad a Internet para comunicarse con la instancia de USM Anywhere en LevelBlue Secure Cloud.
Esta comunicación es esencial para enviar datos, recibir actualizaciones de inteligencia de amenazas y actualizaciones de software del sensor.
Permisos en Plataformas Cloud: Para despliegues en AWS, Azure o GCP, se necesitan permisos adecuados en la consola de gestión del proveedor de nube para crear y configurar los recursos necesarios para el sensor (VMs, roles IAM, grupos de seguridad, etc.).
B. Descarga e Instalación de Sensores
La página oficial de descarga de los sensores USM Anywhere se encuentra en el sitio web de LevelBlue (anteriormente AT&T Cybersecurity).
Desde esta página, los usuarios pueden acceder a las imágenes o plantillas de los sensores para las diversas plataformas soportadas, así como a las guías de despliegue detalladas y las guías de inicio rápido (Quick Start Guides).
Es crucial que los usuarios planifiquen la infraestructura necesaria antes del despliegue, asegurándose de que los recursos asignados cumplan o superen los requisitos mínimos para un rendimiento óptimo.
La siguiente tabla resume los requisitos de sistema para los sensores USM Anywhere en las principales plataformas, extraídos de la documentación oficial:
Tabla: Requisitos de Sistema para Sensores USM Anywhere Plataformav CPU/Cores MínimosRAM Mínima
Almacenamiento Raíz
Almacenamiento de Datos
Notas EspecíficasFuentesAWS2 (m5.large)8 GB(Incluido en AMI)100 GB EBS
Instancia m5.large en VPC recomendada.
Anteriormente m3.large en EC2-Classic.
Volumen EBS para almacenamiento temporal de datos procesados.
Azure2 (D2 Standard)7 GB(Incluido en Imagen)12 GBInstancia D2 Standard o DS2 Standard.43GCP2 (n1-standard-2)7.5 GB50 GB Zonal SSD128 GB Zonal SSDInstancia n1-standard-2.
Discos persistentes SSD zonales para rendimiento óptimo.
No soporta despliegue en VPC compartida.41VMware412 GB50 GB100 GB
Memoria dedicada a la VM. VMware ESXi 5.1 o posterior (ESXi 6.5+ recomendado en 5).5Hyper-V412 GB50 GB100 GBMemoria dedicada a la VM. Windows Server 2012 R2 o posterior con rol Hyper-V.
Cumplir con estos requisitos es un paso fundamental para una instalación exitosa y un funcionamiento estable del sensor. Una infraestructura subdimensionada puede llevar a problemas de rendimiento, pérdida de eventos o fallos en las funcionalidades del sensor.
C. Despliegue por Plataforma (Resumen de Pasos Clave)
El proceso específico de despliegue de un sensor USM Anywhere varía según la plataforma de destino. A continuación, se resumen los pasos clave para cada entorno principal:
VMware:
Descargar el archivo OVF (Open Virtualization Format) del sensor VMware desde la página de descargas de LevelBlue.
En VMware vCenter o ESXi host, desplegar la VM utilizando el archivo OVF.
Configurar los recursos de la VM (CPU, RAM, discos) según los requisitos.
Configurar las interfaces de red de la VM. USM Anywhere utiliza hasta cinco interfaces de red con roles predefinidos; la interfaz de gestión es esencial.
Encender la VM y acceder a la consola del sensor para la configuración inicial (IP, DNS, contraseña de sysadmin).
Acceder a la IP del sensor vía web para conectar con la instancia USM Anywhere usando el código de activación.
Hyper-V:
Descargar la imagen del disco duro virtual (VHD o VHDX) del sensor Hyper-V.
En Hyper-V Manager o SCVMM, crear una nueva máquina virtual.
Adjuntar la imagen VHD/VHDX descargada como disco duro de la VM.
Configurar los recursos de la VM (CPU, RAM) y las interfaces de red (hasta cinco).
Encender la VM y acceder a la consola del sensor para la configuración inicial.
Acceder a la IP del sensor vía web para conectar con la instancia USM Anywhere usando el código de activación.
AWS:
Obtener la URL del CloudFormation Template proporcionada por LevelBlue.
En la consola de AWS, utilizar el CloudFormation Template para desplegar la pila del sensor. Esto creará automáticamente los recursos necesarios, incluyendo la instancia EC2 (tipo m5.large o similar), el volumen EBS y los grupos de seguridad.
Asegurar que los grupos de seguridad permitan el tráfico necesario para la configuración y operación del sensor (TCP 80 para setup inicial, TCP 443, TCP 7100, UDP 514, etc.).
Una vez la pila esté creada y la instancia en ejecución, obtener la URL pública o IP de la instancia.
Acceder a esta URL vía web para registrar el sensor con el código de activación y conectar con USM Anywhere.
Azure:
La forma más sencilla es desplegar el sensor directamente desde Azure Marketplace.
Buscar “AlienVault USM Anywhere” o “LevelBlue USM Anywhere”.
Durante el despliegue desde Marketplace, se guiará al usuario para configurar los parámetros de la VM.
Es necesario crear un App Registration (Registro de Aplicación) en Azure Active Directory y obtener las credenciales (Application ID, Directory ID, Client Secret) para que el sensor pueda interactuar con las APIs de Azure y recolectar logs (ej. Azure Monitor, Azure Diagnostics).
Alternativamente, para regiones no soportadas directamente o para un control más granular, se puede realizar un despliegue manual:
Descargar la imagen VHD del sensor Azure.
Subir el VHD a una cuenta de Azure Storage como Page Blob.
Crear una plantilla ARM (Azure Resource Manager) o utilizar la proporcionada por LevelBlue para desplegar la VM desde la imagen VHD personalizada.
Una vez la VM del sensor esté en ejecución, acceder a su IP pública vía web para registrarla con el código de activación.
GCP (Google Cloud Platform):
Preparar el entorno GCP, asegurando los permisos necesarios para el usuario que realizará el despliegue.
Utilizar la plantilla de Google Cloud Deployment Manager proporcionada por LevelBlue.
Esta plantilla automatiza la creación de los recursos requeridos, como la instancia de Compute Engine (tipo n1-standard-2 o similar), los discos persistentes y las reglas de firewall necesarias.
Una vez desplegada la instancia del sensor, obtener su dirección IP externa.
Acceder a la IP del sensor vía web para registrarlo con el código de activación y conectar con la instancia de USM Anywhere.
Independientemente de la plataforma, una vez el sensor está desplegado y accesible, el siguiente paso es la conexión y configuración inicial con la nube de USM Anywhere.
D. Conexión Inicial y Configuración
Tras el despliegue físico o virtual del sensor, el proceso de conexión y configuración inicial es fundamental para integrar el sensor con la instancia de USM Anywhere en la nube y comenzar la monitorización.
Acceso al Setup Wizard del Sensor:
Se accede al asistente de configuración (Setup Wizard) del sensor abriendo un navegador web y dirigiéndose a la dirección IP (para sensores on-premises) o la URL pública (para sensores cloud) asignada al sensor recién desplegado. Esto presenta la página “Welcome to USM Anywhere Sensor Setup”.
Registro del Sensor:
En esta página, se debe proporcionar un nombre y una descripción para el sensor. Estos identificadores ayudarán a gestionarlo posteriormente en la consola de USM Anywhere.
El paso más importante es introducir el código de activación (obtenido previamente, tipo ‘C’ para el primer sensor o ‘S’ para adicionales) en el campo correspondiente.
Al hacer clic en “Start Setup”, se inicia el proceso de conexión. Si es el primer sensor, esto también desencadena el aprovisionamiento de la instancia de USM Anywhere del cliente en LevelBlue Secure Cloud, lo cual puede tardar unos 20 minutos.
Configuración de Credenciales del Administrador Inicial:
Una vez aprovisionada la instancia (o si ya existía), el sistema (a menudo a través de un mensaje de bienvenida en la página del sensor o un correo electrónico de LevelBlue) proporcionará un enlace de acceso a la consola web segura de USM Anywhere.
Al acceder a este enlace por primera vez, se solicitará al usuario que establezca la contraseña para la cuenta de administrador por defecto de esa instancia de USM Anywhere.31
Es crucial seguir las políticas de complejidad de contraseña de USM Anywhere: longitud mínima de 8 caracteres (máximo 128), y debe contener dígitos numéricos (0-9), letras mayúsculas (A-Z), letras minúsculas (a-z) y caracteres especiales (ej. guion, guion bajo).
Las contraseñas en USM Anywhere expiran cada 90 días, y no se pueden reutilizar las últimas cuatro contraseñas.
Las cuentas se bloquean tras 45 días de inactividad o después de un número determinado de intentos fallidos de inicio de sesión (5 para USM Anywhere estándar, 3 para TDR for Gov, con un bloqueo de 30 minutos).
Primer Inicio de Sesión en USM Anywhere:
Tras guardar la nueva contraseña del administrador, se redirige a la página de inicio de sesión de USM Anywhere.
El usuario debe ingresar con el nombre de usuario (generalmente la dirección de correo electrónico asociada a la cuenta inicial) y la contraseña recién establecida.
Una vez completados estos pasos, el sensor estará conectado a la instancia de USM Anywhere, y el usuario tendrá acceso a la consola web para continuar con la configuración detallada del entorno de monitorización, como el descubrimiento de activos, la configuración de recolección de logs y la programación de escaneos.
Es recomendable verificar que el sensor aparece listado en Data Sources > Sensors y que comienzan a llegar eventos a Activity > Events (puede tardar unos minutos).38E. Configuración de Red Inicial (Sensores On-Premises)Para los sensores USM Anywhere desplegados en entornos on-premises (VMware o Hyper-V), una configuración de red adecuada y precisa desde la consola del sensor es crítica antes de que puedan operar eficazmente y comunicarse con la nube de USM Anywhere.
Interfaces de Red: Los sensores on-premises utilizan hasta cinco interfaces de red, cada una con un rol predefinido.
La interfaz de gestión (eth0) es la más importante para la comunicación con USM Anywhere, actualizaciones, recolección de logs y escaneos.
Las otras interfaces (eth1-eth4) se utilizan para la monitorización pasiva de red (NIDS) y deben conectarse a puertos SPAN/mirror en los switches.45 Es crucial que todas las NICs estén habilitadas en la configuración de la VM, incluso si no están conectadas, para evitar fallos en las actualizaciones de USM Anywhere.
Configuración de la Interfaz de Gestión:
Dirección IP Estática (Recomendado): LevelBlue recomienda encarecidamente asignar una dirección IP estática a la interfaz de gestión del sensor.
Esto asegura una conectividad fiable para el reenvío de logs, los escaneos y la comunicación con la nube, y simplifica la arquitectura de red. Se configura desde la consola del sensor en Network Configuration > Configure Management Interface > Set a Static Management IP Address.
DHCP: Por defecto, el sensor intentará obtener una IP vía DHCP. Si bien esto puede funcionar, no es la práctica recomendada para un componente de infraestructura crítico.
Configuración de Servidores DNS:
Una configuración DNS correcta es esencial, especialmente si se utiliza una IP estática, ya que los ajustes DNS no se mantienen automáticamente en ese caso.
El sensor necesita resolver nombres de host internos durante los escaneos de activos y nombres de dominio externos para la comunicación con la nube USM Anywhere y OTX.
Se configura desde la consola del sensor en Network Configuration > Configure DNS. Se debe introducir el DNS primario y, opcionalmente, un secundario. Es una buena práctica configurar el servidor DNS local de la organización como primario para asegurar la resolución de nombres internos.
Reglas de Firewall:
El sensor necesita comunicarse con la instancia de USM Anywhere en LevelBlue Secure Cloud y con otros servicios como OTX y servidores de actualización.
Dado que las IPs de estos servicios en la nube pueden cambiar, las reglas de firewall deben configurarse para permitir el tráfico saliente hacia las URLs específicas de estos servicios.
Los puertos comúnmente requeridos para la comunicación saliente incluyen:
TCP 443 (HTTPS): Para la comunicación principal con la API de USM Anywhere y actualizaciones.
TCP 7100: Para comunicación continua con USM Anywhere.
UDP 53 (DNS): Para resolución de nombres.
UDP 123 (NTP): Para sincronización horaria.
Para la configuración inicial del sensor a través de su interfaz web, es necesario permitir temporalmente el tráfico entrante al sensor en el puerto TCP 80.
Este acceso puede eliminarse una vez que el sensor se conecta exitosamente a USM Anywhere.
Para la recolección de logs vía syslog, se deben permitir los puertos entrantes correspondientes (ej. UDP 514, TCP 601, TCP/TLS 6514) en el firewall que protege al sensor.
Una configuración de red inicial incorrecta, como una IP mal configurada, DNS inaccesibles o reglas de firewall demasiado restrictivas, puede impedir la activación del sensor, bloquear las actualizaciones de software y de inteligencia de amenazas, o interferir con la recolección de logs y los resultados de los escaneos.
Por lo tanto, dedicar tiempo a verificar estos ajustes es crucial para el éxito del despliegue.
Se puede verificar la configuración de red desde la consola del sensor (Network Configuration > View Network Configuration) o desde la UI de USM Anywhere (Data Sources > Sensors > > Network IDS tab).
IV. Configuración y Mejores Prácticas
A. Gestión de ActivosUna gestión de activos eficaz es la piedra angular de cualquier programa de seguridad y es fundamental para maximizar el valor de USM Anywhere. Conocer qué activos existen en el entorno, dónde están ubicados y cuál es su importancia relativa permite priorizar esfuerzos de monitorización, evaluación de vulnerabilidades y respuesta a incidentes.
Métodos de Descubrimiento de Activos: USM Anywhere ofrece múltiples vías para descubrir e inventariar activos :
Setup Wizard: Durante la configuración inicial del sensor, el asistente permite realizar un primer descubrimiento de activos en la red local.
Sensor Details Page: Desde la página de detalles de un sensor específico, se pueden iniciar escaneos de descubrimiento de red.
Job Scheduler: Se pueden programar trabajos recurrentes de descubrimiento de activos, incluyendo escaneos de red, escaneos de Active Directory (AD) y descubrimientos basados en API para entornos cloud.
Integración API (Cloud): Para entornos en la nube como AWS, Azure y GCP, USM Anywhere utiliza las APIs nativas de estos proveedores para descubrir activos (VMs, servicios PaaS, etc.) de forma dinámica y continua. Este es el método preferido para entornos cloud, ya que proporciona información más rica y reduce el riesgo de duplicados.
Escaneos de Red (Network Scans): Los sensores pueden realizar escaneos activos de rangos de red para identificar hosts.
Adición Manual: Se pueden añadir activos individualmente o mediante la importación de un archivo CSV, lo cual es útil para activos que no son fácilmente descubribles o para enriquecer la información de activos existentes.
Inventario de Activos Preciso: Mantener un inventario de activos preciso y actualizado es crucial. USM Anywhere busca proporcionar esta visibilidad continua.
Grupos de Activos: La plataforma permite la creación de grupos de activos, que son colecciones lógicas de activos con características comunes. Estos pueden ser estáticos (activos añadidos manualmente) o dinámicos (activos añadidos automáticamente basados en criterios como sistema operativo, etiquetas o criticidad).
Los grupos de activos son esenciales para aplicar políticas de escaneo específicas, reglas de correlación diferenciadas y para la generación de informes segmentados (por ejemplo, para cumplimiento PCI DSS en un grupo de activos específico).
Campos de Activos Personalizados: Para enriquecer la información del inventario más allá de los datos descubiertos automáticamente, USM Anywhere permite crear campos de activos personalizados.
Estos campos pueden usarse para registrar información específica del negocio, como el propietario del activo, el departamento, la criticidad para el negocio, o el estado de cumplimiento.
Esta información adicional puede ser invaluable durante la investigación de incidentes y la priorización de vulnerabilidades.
B. Escaneos:
Tipos y Mejores Prácticas
USM Anywhere integra capacidades de escaneo para el descubrimiento de activos y la evaluación de vulnerabilidades. Una estrategia de escaneo bien planificada y ejecutada es esencial para la precisión de los datos y la salud del sistema.
Tipos de Escaneo:
Descubrimiento de Activos (Asset Discovery Scans): Su objetivo principal es identificar nuevos activos en la red o actualizar la información de los existentes. Pueden ser escaneos de red o basados en API (para cloud).
Escaneo de Vulnerabilidades (Vulnerability Scans): Buscan debilidades conocidas en los activos.
Se dividen en:
No Autenticados (Unauthenticated): Realizados desde una perspectiva externa, sin credenciales. Identifican vulnerabilidades explotables remotamente sin acceso previo.
Autenticados (Authenticated): Realizados con credenciales de acceso al activo (SSH para Linux/macOS, WinRM para Windows). Proporcionan una visión mucho más profunda y precisa de las vulnerabilidades, ya que pueden inspeccionar la configuración del sistema, el software instalado y los parches aplicados desde dentro.
Escaneos Programados: USM Anywhere permite programar diversos tipos de escaneos a través del Job Scheduler, incluyendo escaneos de Active Directory (para inventario), escaneos de API (para activos cloud), escaneos de activos individuales o grupos de activos para descubrimiento o vulnerabilidades.
Mejores Prácticas para Escaneos:
Priorizar Escaneos API en Cloud: En entornos de nube (AWS, Azure, GCP), se deben priorizar los métodos de descubrimiento basados en API sobre los escaneos de red tradicionales.
Las APIs proporcionan información más completa sobre los activos (estado, tipo de instancia, región, etc.) y reducen significativamente el riesgo de crear activos duplicados.
Si múltiples métodos API devuelven los mismos activos, se debe usar solo el que proporcione la mayor cantidad de información y deshabilitar los otros en el Job Scheduler para evitar duplicados.
Orden de Escaneos: Generalmente, se recomienda ejecutar escaneos de descubrimiento de activos (especialmente vía API para cloud) primero para poblar el inventario.
Posteriormente, ejecutar escaneos de vulnerabilidad (preferiblemente autenticados) sobre los activos descubiertos. Un activo descubierto primero por un escaneo de red y luego por un método API puede resultar en un duplicado.
Vinculación de Agentes: Después de desplegar un agente LevelBlue en un host, es importante vincularlo al activo correspondiente ya existente en USM Anywhere para consolidar la información.
Escaneos de Active Directory: Cuando un escaneo de AD descubre un activo, los escaneos de descubrimiento de activos/grupos de activos posteriores actualizarán la información de ese activo existente creado por el escaneo de AD.
Frecuencia y Programación:
Los escaneos de vulnerabilidad, especialmente los autenticados que son más intensivos, deben programarse con una frecuencia adecuada (ej. semanalmente es un buen punto de partida, a menos que haya actualizaciones continuas de software) y, preferiblemente, durante horas de baja actividad para minimizar el impacto en el rendimiento de los activos escaneados y del propio sensor.
Los escaneos de descubrimiento de activos pueden ser más frecuentes, pero también deben programarse con sensatez.
Ejecutar escaneos de descubrimiento (incluyendo AD) más de una vez al día suele ser contraproducente.
Espaciar los trabajos programados (al menos una hora, idealmente dos) y evitar la ejecución simultánea de múltiples tipos de escaneos.54
Tamaño de Red (CIDR): Al configurar escaneos de red, limitar el tamaño de los bloques CIDR a segmentos manejables (ej. /24 o menor).
Evitar bloques muy grandes como /16, que pueden sobrecargar el sensor y la red.
Eventos de Vulnerabilidad: Habilitar la generación de System Events por cada vulnerabilidad descubierta puede generar una gran cantidad de eventos, especialmente en los escaneos iniciales. Se recomienda realizar algunos escaneos iniciales para obtener una línea base antes de habilitar esta característica.
Configuración de Escaneos Autenticados: Asegurar que los prerrequisitos para escaneos autenticados estén cumplidos en los hosts destino:
Windows: WinRM habilitado y configurado (puerto 5985 por defecto), PowerShell v5.1 o superior, servicio de Registro Remoto habilitado, y credenciales con los permisos adecuados (a menudo administrativos) para acceder a archivos y registros.
Linux/macOS: Servidor OpenSSH instalado y accesible, y credenciales con los permisos necesarios (a menudo con capacidad de sudo).
Una estrategia de escaneo bien adaptada al entorno específico (cloud, on-prem, híbrido) y optimizada según estas mejores prácticas es crucial. No solo asegura la precisión del inventario de activos y la evaluación de vulnerabilidades, sino que también previene la duplicación de datos y la sobrecarga innecesaria del sistema USM Anywhere y de los recursos monitorizados.
Los escaneos autenticados, aunque requieren más configuración inicial, son indispensables para una evaluación de vulnerabilidades exhaustiva y precisa, y deben ser una prioridad en cualquier programa de gestión de vulnerabilidades.
C. Recolección y Gestión de Logs
La recolección, normalización, enriquecimiento y almacenamiento de logs son funciones centrales de USM Anywhere, proporcionando la base para la detección de amenazas, la investigación forense y el cumplimiento normativo.
Proceso de Recolección y Flujo de Datos:
Recolección: Los sensores USM Anywhere y los agentes LevelBlue recolectan logs de una amplia variedad de fuentes en el entorno del cliente.
Esto incluye logs de sistemas operativos, aplicaciones, dispositivos de red (firewalls, routers, switches), servicios en la nube (AWS CloudTrail, Azure Monitor, etc.) y logs de seguridad de endpoints.
Normalización: Una vez recolectados, los logs, que provienen de formatos y estructuras muy diversas, son normalizados por el sensor o agente.
La normalización implica mapear los campos de los logs originales a una taxonomía estándar y un conjunto de terminología común definidos por USM Anywhere.
Por ejemplo, diferentes proveedores pueden usar términos como “outcome” o “result” para indicar el éxito o fracaso de un intento de autenticación; USM Anywhere los mapearía a un único campo estándar. Este paso es esencial para poder comparar y correlacionar eventos de diferentes fuentes.
La documentación indica que el proceso de normalización puede aumentar el tamaño del mensaje de log original en aproximadamente un 100% al preservar el log original y añadir los campos normalizados.
Envío Seguro a la Nube: Los eventos normalizados son enviados de forma segura (vía TLS 1.2) desde el sensor/agente a la instancia de USM Anywhere en LevelBlue Secure Cloud.
Enriquecimiento (en la Nube): Ya en la nube, los eventos pueden ser enriquecidos con información contextual adicional. La infraestructura de USM Anywhere tiene acceso a datos sobre la red y los sistemas del cliente, así como a bases de datos externas (geolocalización de IPs, tipos de dispositivos, inteligencia de amenazas de OTX).
Este enriquecimiento añade valor a los logs, por ejemplo, identificando la ubicación geográfica de una IP de origen o destino, o añadiendo el MAC address y FQDN a un evento si se conocen, lo cual es útil en entornos con DHCP.
Correlación y Análisis: Los eventos normalizados y enriquecidos son procesados por el motor de correlación para identificar patrones de actividad sospechosa o maliciosa, generando alarmas si es necesario.
Almacenamiento: Finalmente, los eventos (y los logs crudos originales) son almacenados para su posterior análisis, investigación y cumplimiento.
Almacenamiento de Logs: USM Anywhere utiliza un sistema de almacenamiento de dos niveles:
Hot Storage (Almacenamiento Caliente): Los eventos recientes y los datos de telemetría más relevantes se almacenan en un sistema de “hot storage”, a menudo basado en Elasticsearch.
Esto permite búsquedas y análisis extremadamente rápidos, esenciales para la investigación de incidentes en tiempo real y la visualización en dashboards.
Cold Storage (Almacenamiento Frío): Los logs crudos se retienen a largo plazo en un “cold storage” seguro. Por defecto, USM Anywhere ofrece 12 meses de retención en cold storage, con la posibilidad de extender esta capacidad.
Este almacenamiento a largo plazo es crucial para investigaciones forenses retrospectivas y para cumplir con los requisitos de retención de logs de diversas normativas (ej. PCI DSS requiere al menos un año).
Integridad WORM: USM Anywhere utiliza un enfoque de “Write Once, Read Many” (WORM) para el almacenamiento de logs, lo que significa que una vez que un log es escrito, no puede ser modificado ni eliminado (dentGas del periodo de retención). Esto asegura la integridad de los logs para fines forenses y de auditoría.
Descarga de Logs Crudos: Los usuarios tienen la capacidad de descargar sus logs crudos en cualquier momento, por ejemplo, para análisis offline o para cumplir con solicitudes de auditoría.
Configuración de Syslog Seguro (TLS): Para las fuentes de logs que envían datos vía syslog, es una mejor práctica configurar la transmisión segura utilizando TLS. USM Anywhere soporta la recepción de syslog sobre TLS (puerto 6514 por defecto).
Esto requiere generar o adquirir un certificado SSL/TLS y configurarlo en el sensor USM Anywhere para el servidor syslog.
Este paso es importante para proteger la confidencialidad e integridad de los logs en tránsito desde las fuentes hasta el sensor.
La normalización y el enriquecimiento son procesos fundamentales que transforman la masa de logs crudos, a menudo crípticos y heterogéneos, en un conjunto de datos estandarizado, contextualizado y accionable.
Sin estos pasos, la correlación efectiva de eventos a través de diferentes sistemas y la detección precisa de amenazas serían prácticamente imposibles.
El almacenamiento WORM, por su parte, es una característica vital que subraya la fiabilidad de USM Anywhere para la recolección de evidencia digital y el cumplimiento de normativas estrictas.
D. Gestión de Reglas
La gestión de reglas en USM Anywhere es un componente dinámico y esencial para adaptar la plataforma a las necesidades específicas de cada entorno y para mantener la eficacia de la detección de amenazas a lo largo del tiempo.
Es un proceso iterativo que requiere configuración inicial y ajustes continuos a medida que el entorno evoluciona y surgen nuevas amenazas.
USM Anywhere distingue principalmente entre Reglas de Correlación y Reglas de Orquestación.
Reglas de Correlación:
Estas reglas son predefinidas y mantenidas por el equipo de LevelBlue Labs Security Research Team.
Los usuarios no pueden modificarlas directamente.
Su propósito es identificar patrones de ataque complejos o comportamientos maliciosos que involucran múltiples eventos, posiblemente de diferentes fuentes de datos o activos, ocurriendo en una secuencia o combinación particular.
Las reglas de correlación se basan en una estructura de tres niveles para describir el comportamiento observado:
Intención (Intent): El objetivo general del comportamiento, mapeado aproximadamente a las fases de la “cyber kill chain” (ej. System Compromise, Exploitation & Installation, Delivery & Attack, Reconnaissance & Probing, Environmental Awareness).
Estrategia (Strategy): La metodología general empleada por el atacante (ej. “Client-Side Attack – Known Vulnerability”).
Método (Method): Los detalles específicos de la metodología (ej. el software objetivo y la vulnerabilidad específica, como “Firefox – CVE-2008-4064”).
Estas reglas son la principal fuente de generación de alarmas de alta fidelidad en USM Anywhere. Se actualizan continuamente a través de la suscripción de Inteligencia de Amenazas de LevelBlue Labs.
Reglas de Orquestación:
Estas reglas son creadas y personalizadas por los usuarios de USM Anywhere para implementar políticas específicas sobre cómo tratar eventos o alarmas particulares.
Permiten una gran flexibilidad para adaptar la plataforma al entorno y a los procesos de seguridad de la organización.
Existen varios tipos de reglas de orquestación :
Reglas de Supresión (Suppression Rules): Se utilizan para reducir el “ruido” en el sistema, suprimiendo eventos o alarmas que se consideran falsos positivos o de baja relevancia para el entorno específico. Esto ayuda a los analistas a centrarse en las alertas más importantes.
Reglas de Filtrado (Filtering Rules): Permiten que el sensor descarte ciertos eventos futuros que coincidan con la regla antes de que sean procesados o enviados a la nube.
Esto puede ser útil para evitar la ingesta de logs excesivamente voluminosos y de bajo valor, ayudando a gestionar el consumo de datos. Sin embargo, deben usarse con precaución para no filtrar información de seguridad relevante.
Reglas de Alarma (Alarm Rules): Permiten a los usuarios crear sus propias condiciones para generar alarmas personalizadas basadas en eventos específicos o combinaciones de eventos que son significativos para su organización pero que podrían no estar cubiertos por las reglas de correlación predefinidas.
Reglas de Notificación (Notification Rules): Se utilizan para configurar el envío de notificaciones (ej. por correo electrónico, Slack, PagerDuty, Amazon SNS) cuando se cumplen ciertas condiciones de eventos o alarmas, asegurando que el personal adecuado sea alertado.
Reglas de Acción de Respuesta (Response Action Rules): Permiten automatizar respuestas a eventos o alarmas mediante la ejecución de acciones a través de BlueApps integradas (ej. bloquear una IP en un firewall, aislar un endpoint, crear un ticket en un sistema ITSM).
Mejores Prácticas para Reglas de Orquestación:
Eficiencia: Para asegurar un procesamiento eficiente, se recomienda que las reglas contengan al menos dos condiciones: una para packet_type (el tipo de ítem contra el que se compara, ej. ‘log’, ‘alarm’) y otra para plugin (la fuente de datos).
Orden de Condiciones: Colocar la condición más restrictiva (la que filtra más) inmediatamente después de plugin puede ahorrar tiempo de procesamiento, ya que las condiciones se evalúan de izquierda a derecha.
Operadores Eficientes: Preferir operadores de comparación exactos y sensibles a mayúsculas/minúsculas como Equals cuando sea posible, ya que consumen menos recursos que Contains o Match (que usa expresiones regulares).
Usar IN o In List (con Listas de Correlación, donde sea aplicable) en lugar de múltiples condiciones Equals combinadas con OR para el mismo campo.
Evitar packet_payload: No usar el campo packet_payload (contenido completo del paquete) directamente en los criterios de las reglas, ya que puede ser muy costoso de procesar y la regla podría no validarse correctamente. Si es necesario, usar detalles del raw log. Las reglas de alarma no tienen acceso a packet_payload.
Validación de Reglas: USM Anywhere inspecciona y valida las reglas de orquestación activas para indicar su estado y posibles errores o advertencias.
Es crucial revisar el estado de validación de las reglas y realizar los cambios necesarios para optimizarlas.
La combinación inteligente de reglas de correlación (que proporcionan una base sólida de detección de amenazas mantenida por expertos) y reglas de orquestación (que ofrecen personalización y automatización) es lo que permite a USM Anywhere ser una herramienta potente y adaptable.
Un proceso de tuning de reglas bien ejecutado, especialmente enfocado en la supresión efectiva de falsos positivos y el filtrado juicioso de eventos de bajo valor, es esencial para gestionar la fatiga de alertas y asegurar que el equipo de seguridad pueda concentrarse en las amenazas reales y responder de manera eficiente.
E. Gestión de Usuarios y Roles (RBAC)
La gestión de usuarios y el Control de Acceso Basado en Roles (RBAC) son fundamentales en USM Anywhere para garantizar que solo el personal autorizado acceda a la plataforma y que cada usuario tenga únicamente los permisos necesarios para realizar sus funciones, adhiriéndose al principio de mínimo privilegio.
Roles Predefinidos: USM Anywhere implementa cuatro roles predefinidos con conjuntos de permisos específicos :
Read-Only (Solo Lectura): Puede acceder a las vistas y buscar en el sistema, pero no puede realizar cambios que impacten a otros usuarios o la configuración del sistema. Ideal para personal que necesita visibilidad pero no funciones operativas.
Investigator (Investigador): Tiene permisos de solo lectura, pero además puede generar informes.
No puede realizar cambios en la configuración del sistema. Adecuado para analistas junior o personal de cumplimiento que necesita extraer datos.
Analyst (Analista): Puede ver y buscar en el sistema, programar trabajos (ej. escaneos), ejecutar acciones desde alarmas/eventos/vulnerabilidades (ej. iniciar un escaneo, obtener información forense, ejecutar respuestas de BlueApps), configurar reglas de orquestación y credenciales de activos.
Sin embargo, no puede añadir o modificar configuraciones de sensores, credenciales para BlueApps/notificaciones/inteligencia de amenazas, ni añadir usuarios.
Este rol es para analistas de seguridad operativa.
Manager (Administrador): Posee todos los permisos de Analista y, adicionalmente, puede añadir o modificar configuraciones de sensores, configurar credenciales para BlueApps, aplicaciones de notificación e integraciones de inteligencia de amenazas, y añadir/gestionar usuarios.
Es el rol con plenos poderes administrativos sobre la instancia de USM Anywhere.
Gestión de Usuarios:
La creación, edición y eliminación de cuentas de usuario solo puede ser realizada por usuarios con el rol de Manager, desde la sección Settings > Users.
Al crear un nuevo usuario, se debe proporcionar su dirección de correo electrónico (que se usará para la verificación y el establecimiento de la contraseña inicial), nombre completo, el rol asignado y el estado de la cuenta (habilitado/deshabilitado).
Políticas de Seguridad de Cuentas:
Contraseñas: USM Anywhere impone políticas de complejidad de contraseña (longitud, combinación de caracteres), expiración (90 días) y prohíbe la reutilización de las últimas cuatro contraseñas.
Bloqueo de Cuentas: Las cuentas se bloquean automáticamente tras 45 días de inactividad o después de un número específico de intentos fallidos de inicio de sesión (5 para USM Anywhere estándar, 3 para TDR for Gov, con un periodo de bloqueo de 30 minutos).
Los usuarios Manager pueden desbloquear cuentas inactivas; para bloqueos por intentos fallidos, se puede enviar un reseteo de contraseña o esperar el tiempo de bloqueo.
Autenticación Multifactor (MFA): Se recomienda encarecidamente habilitar MFA para todas las cuentas de usuario para una capa adicional de seguridad. USM Anywhere soporta MFA a través de aplicaciones de autenticación estándar (ej. Google Authenticator, Microsoft Authenticator).
Monitorización de Actividad de Usuarios: Todas las acciones realizadas por los usuarios dentro de la interfaz de USM Anywhere se registran como “Console User Events“.
Estos eventos pueden ser revisados por los administradores para auditoría y seguimiento de la actividad en la plataforma.
La siguiente tabla resume las capacidades clave de cada rol predefinido, lo que facilita la asignación adecuada de permisos:
Tabla: Roles de Usuario Predefinidos en USM Anywhere
Rol
Descripción Breve
Permisos
Clave
FuentesRead-Only
Acceso de solo visualización y búsqueda.
Ver dashboards, alarmas, eventos, activos. Buscar datos. Generar informes básicos. No puede modificar configuraciones.
Investigator
Capacidades de Read-Only más generación de informes.
Todo lo de Read-Only. Generar informes más detallados. No puede modificar configuraciones.
Analyst
Capacidades operativas de seguridad.
Todo lo de Investigator.
Programar trabajos (escaneos).
Ejecutar acciones de respuesta (BlueApps).
Configurar reglas de orquestación. Configurar credenciales de activos. No puede gestionar sensores ni usuarios.
ManagerAcceso administrativo completo.
Todo lo de Analyst. Añadir/modificar sensores.
Configurar credenciales de BlueApps, notificaciones, inteligencia de amenazas.
Añadir/gestionar usuarios y sus roles. Acceso a todas las configuraciones del sistema.
Una correcta implementación del RBAC es esencial no solo para la seguridad de la propia plataforma USM Anywhere, sino también para el cumplimiento de normativas que exigen la segregación de funciones y el control de acceso a datos sensibles.
Asignar el rol adecuado a cada miembro del equipo de seguridad asegura que puedan realizar sus tareas eficazmente sin tener permisos excesivos que podrían ser abusados o comprometidos.
V. Maximizando el Valor de USM Anywhere: Estrategias Avanzadas
A. Optimización y Tuning
La implementación inicial de USM Anywhere es solo el primer paso. Para extraer el máximo valor y mantener su eficacia a largo plazo, es crucial un proceso continuo de optimización y tuning.60 Este proceso tiene como objetivo principal reducir el volumen de alertas irrelevantes (falsos positivos), minimizar la fatiga de alertas en los analistas y asegurar que la plataforma esté configurada de manera óptima para detectar las amenazas más pertinentes para la organización.
Técnicas de Tuning:
Ajuste Fino de Reglas: La principal herramienta de tuning son las reglas de orquestación.
Reglas de Supresión: Identificar y suprimir sistemáticamente alarmas o eventos que, tras un análisis, se confirman como falsos positivos o ruido inherente al entorno específico.
Esto es vital para que los analistas no se vean desbordados.60 Por ejemplo, si una aplicación legítima genera un patrón de tráfico que dispara una alarma genérica, se puede crear una regla de supresión específica para ese comportamiento en ese contexto.
Reglas de Filtrado: Utilizar con extrema cautela para descartar eventos de muy bajo valor directamente en el sensor, antes de que consuman recursos de procesamiento o almacenamiento. Es crucial no filtrar eventos que podrían ser útiles para la correlación o investigación forense.
Condiciones Específicas: Refinar las condiciones de las reglas de alarma personalizadas para que sean lo más precisas posible, utilizando combinaciones de campos y operadores que minimicen las coincidencias no deseadas.
Uso de Etiquetas (Labels): Aplicar etiquetas personalizadas a alarmas y vulnerabilidades permite clasificarlas y gestionarlas de forma más eficiente.
Por ejemplo, se pueden crear etiquetas para “Investigación en Curso”, “Falso Positivo Confirmado”, “Remediación Pendiente”, “Riesgo Aceptado”, etc.
Esto facilita el seguimiento, la asignación de tareas y la generación de informes específicos.
Contextualización con Inteligencia de Amenazas (OTX): Asegurar que la integración con OTX esté activa y que los pulsos relevantes para la industria o el perfil de amenaza de la organización estén suscritos.
La información de reputación IP y los IOCs de OTX pueden ayudar a priorizar automáticamente las alarmas que involucran amenazas conocidas y activas.
Establecimiento de Líneas Base (Baselining): Comprender cuál es el comportamiento “normal” de la red, los sistemas y los usuarios es fundamental para detectar anomalías. Aunque USM Anywhere tiene capacidades de monitorización del comportamiento, el equipo de seguridad debe familiarizarse con los patrones habituales de su entorno para poder identificar y ajustar reglas ante desviaciones significativas que no necesariamente son maliciosas.
Servicios de Asesoría: Para organizaciones que puedan necesitar ayuda experta, LevelBlue ofrece los USM Anywhere Advisors. Estos consultores pueden asistir en diversas actividades, incluyendo el tuning de la plataforma, la configuración de sensores, el despliegue de BlueApps y la investigación de incidentes, ayudando a los clientes a optimizar su despliegue.
El tuning no es una actividad que se realiza una única vez tras la instalación, sino un ciclo continuo de revisión, análisis y ajuste.
A medida que el entorno de TI cambia (nuevos sistemas, aplicaciones, usuarios) y el panorama de amenazas evoluciona, las reglas y configuraciones de USM Anywhere deben adaptarse.
Un esfuerzo proactivo y constante en el tuning es la clave para evitar la “fatiga de alertas”, un fenómeno donde los analistas se vuelven insensibles a las alertas debido a un alto volumen de falsos positivos, lo que puede llevar a pasar por alto amenazas reales.
Un sistema bien afinado asegura que el equipo de seguridad dedique su tiempo y atención a los incidentes que verdaderamente importan.
B. Investigación de Alarmas y Respuesta a Incidentes (IR)USM
Anywhere está diseñado no solo para detectar amenazas, sino también para facilitar un proceso eficiente de investigación y respuesta a incidentes (IR).
El objetivo es reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR).
Flujo de Trabajo de Investigación:
El proceso generalmente comienza con una alarma generada por el sistema, ya sea por una regla de correlación o una regla de orquestación personalizada.
Desde la alarma, el analista puede pivotar para ver los eventos subyacentes que la desencadenaron, los activos involucrados (origen y destino), las vulnerabilidades conocidas en esos activos, y otra información contextual relevante.
Esta capacidad de moverse fluidamente entre diferentes tipos de datos es crucial para entender el alcance y la naturaleza del incidente.
La plataforma ofrece la funcionalidad de “Investigations”, que permite a los analistas agrupar y organizar todos los artefactos relacionados con un incidente específico (alarmas, eventos, notas, archivos adjuntos) en un caso centralizado.
Esto facilita el seguimiento de la investigación, la colaboración entre analistas y la documentación del incidente.
Playbooks para Estandarizar y Automatizar Respuestas:
USM Anywhere soporta la creación de Playbooks, que son conjuntos predefinidos de pasos o acciones a seguir en respuesta a tipos específicos de alarmas o incidentes.
Los playbooks pueden ser manuales, sirviendo como una guía paso a paso para los analistas, asegurando una respuesta consistente y completa.
También pueden ser automáticos, donde ciertas acciones se ejecutan sin intervención humana cuando se dispara una alarma que cumple con criterios específicos.
Esto es especialmente útil para respuestas rápidas a amenazas conocidas o para tareas repetitivas.
Acciones de Respuesta Orquestadas vía BlueApps
A través de las BlueApps, USM Anywhere puede orquestar acciones de respuesta en herramientas de seguridad de terceros.14 Ejemplos incluyen:
Bloquear una dirección IP en un firewall.
Aislar un endpoint comprometido de la red utilizando una solución EDR.
Deshabilitar una cuenta de usuario en Active Directory.
Crear automáticamente un ticket en un sistema de gestión de incidentes como Jira o ServiceNow.Estas acciones se pueden incorporar en reglas de respuesta automática o en playbooks.
La integración de estas herramientas dentro de USM Anywhere busca optimizar el ciclo de vida completo de la respuesta a incidentes. Al proporcionar no solo la detección, sino también las capacidades para investigar profundamente (mediante el pivoting y el módulo de Investigations) y para responder de manera eficiente y consistente (mediante Playbooks y la orquestación con BlueApps), la plataforma ayuda a las organizaciones a minimizar el impacto de los incidentes de seguridad y a mejorar su postura de resiliencia.
C. Gestión de Vulnerabilidades
USM Anywhere integra capacidades de gestión de vulnerabilidades que permiten a las organizaciones identificar, priorizar y gestionar las debilidades en sus sistemas antes de que puedan ser explotadas por atacantes.
Ciclo de Vida de la Gestión de Vulnerabilidades:
El enfoque de USM Anywhere sigue un ciclo de vida típico:
Descubrir: Identificar todos los activos en el entorno (ver sección de Gestión de Activos).
Evaluar: Realizar escaneos de vulnerabilidades sobre los activos descubiertos para identificar debilidades.
Priorizar: Analizar las vulnerabilidades encontradas en función de su severidad, la criticidad del activo afectado y el contexto de amenaza actual.
Remediar: Aplicar parches o implementar medidas de mitigación para las vulnerabilidades priorizadas.
Validar: Realizar nuevos escaneos para confirmar que las vulnerabilidades han sido remediadas exitosamente.
Escaneos Autenticados: Para una detección precisa de vulnerabilidades, especialmente aquellas que no son visibles desde el exterior de un sistema (ej. software desactualizado, configuraciones inseguras a nivel de sistema operativo), los escaneos autenticados son cruciales.5 Estos escaneos utilizan credenciales para iniciar sesión en los activos y realizar una inspección interna.
Priorización Inteligente: USM Anywhere ayuda a priorizar las vulnerabilidades no solo basándose en su puntuación de severidad intrínseca (como CVSS – Common Vulnerability Scoring System), sino también considerando:
La criticidad del activo donde reside la vulnerabilidad (definida por el usuario).
El contexto de amenaza proporcionado por la inteligencia de LevelBlue Labs y OTX, que puede indicar si una vulnerabilidad específica está siendo activamente explotada en el mundo real.
Esta priorización contextual es vital para enfocar los esfuerzos de remediación en las debilidades que representan el mayor riesgo real para la organización.
Visualización de Vulnerabilidades: La plataforma distingue entre vulnerabilidades activas (detectadas en el escaneo más reciente de un activo) e inactivas (detectadas en escaneos anteriores pero no en el más reciente, lo que podría indicar que han sido remediadas).
Generación de Eventos por Descubrimiento de Vulnerabilidades: Opcionalmente, USM Anywhere puede configurarse para generar un evento del sistema cada vez que se descubre una nueva vulnerabilidad durante un escaneo.
Esto puede integrarse en flujos de trabajo de alerta o ticketing, pero debe usarse con precaución, ya que los escaneos iniciales pueden generar un gran volumen de estos eventos.
Al integrar la gestión de vulnerabilidades con otras capacidades de seguridad como el descubrimiento de activos y la inteligencia de amenazas, USM Anywhere proporciona una visión más holística del riesgo, permitiendo a las organizaciones tomar decisiones más informadas sobre dónde concentrar sus recursos de remediación.
D. Monitorización del Comportamiento y Detección de Amenazas Avanzadas
Más allá de la detección basada en firmas y vulnerabilidades conocidas, USM Anywhere incorpora capacidades para monitorizar el comportamiento de usuarios y sistemas, lo que es crucial para detectar amenazas avanzadas, ataques internos y actividades anómalas que podrían pasar desapercibidas para los métodos tradicionales.
Análisis de Logs de Comportamiento: La plataforma analiza una variedad de logs que reflejan comportamiento, incluyendo:
Logs de acceso a sistemas y aplicaciones.
Logs de actividad en la nube (ej. AWS CloudTrail, Azure Monitor, Office 365, G Suite).
Datos de flujo de red (NetFlow o equivalentes) si se integran.
Estos datos permiten identificar patrones de uso, comunicaciones inusuales y otras desviaciones del comportamiento normal establecido.
User Behavior Analytics (UBA): USM Anywhere incluye funcionalidades de UBA que se centran específicamente en el comportamiento de los usuarios.29 Al monitorizar las acciones de los usuarios (inicios de sesión, acceso a recursos, cambios de privilegios, etc.), la UBA puede ayudar a detectar:
Cuentas comprometidas (ej. inicios de sesión desde ubicaciones geográficas inusuales, actividad fuera de horas).
Usuarios internos maliciosos (ej. intento de acceso a datos no autorizados, escalada de privilegios).
Comportamientos de riesgo que podrían llevar a una brecha de seguridad.
Casos de Uso Específicos para Amenazas Avanzadas:
Detección de Amenazas Internas (Insider Threats): Este es un caso de uso clave para la monitorización del comportamiento. USM Anywhere puede ayudar a detectar:
- Intentos de escalada de privilegios no autorizados.
- Acceso a datos sensibles o sistemas críticos por parte de usuarios que no deberían tenerlo.
- Actividad anómala en entornos de nube, como la creación o destrucción inusual de VMs, o cambios de configuración sospechosos por parte de un empleado.
- Exfiltración de datos.
Detección de Ransomware: Aunque el ransomware a menudo se detecta por sus firmas o por la encriptación de archivos (FIM), la monitorización del comportamiento puede identificar precursores o actividades asociadas 2:
Comunicaciones con servidores de Comando y Control (C&C) conocidos (a través de inteligencia de amenazas).
Movimiento lateral dentro de la red después de un compromiso inicial.
Ejecución de scripts o comandos sospechosos asociados con la propagación del ransomware.
Detección de Ataques Fileless (Sin Archivos): Estos ataques operan en la memoria y pueden evadir las defensas basadas en archivos. USM Anywhere, a través de sus agentes EDR y la monitorización del comportamiento, puede ayudar a detectar 25:
Ejecución de comandos sospechosos en PowerShell, WMI u otros intérpretes de comandos.
Procesos que realizan comunicaciones de red inusuales o excesivas.
Intentos de persistencia o escalada de privilegios mediante técnicas fileless.
La capacidad de ir más allá de las amenazas conocidas y detectar anomalías y comportamientos sospechosos es cada vez más importante a medida que los atacantes utilizan técnicas más sofisticadas y evasivas.
La combinación de UBA, análisis de logs de comportamiento y la correlación de esta información con otros datos de seguridad (vulnerabilidades, inteligencia de amenazas) permite a USM Anywhere ofrecer una detección más robusta contra un espectro más amplio de ciberamenazas.
E. Informes y Dashboards
La capacidad de generar informes comprensibles y visualizar datos de seguridad de manera efectiva es crucial para cualquier plataforma SIEM/XDR. USM Anywhere ofrece funcionalidades robustas de reporting y dashboarding para satisfacer diversas necesidades, desde el análisis operativo diario hasta la presentación de informes de cumplimiento y la comunicación con la dirección ejecutiva.
Capacidades de Reporting:
Informes Guardados: Los usuarios pueden crear informes y guardarlos para su uso futuro o programar su generación y envío automático.
La página de “Saved Reports” permite gestionar estos informes, incluyendo su edición, copia, eliminación y revisión de ejecuciones anteriores.
Plantillas de Cumplimiento: USM Anywhere proporciona una biblioteca de plantillas de informes predefinidas orientadas a normativas y marcos de cumplimiento específicos, tales como:
- PCI DSS (Payment Card Industry Data Security Standard)
- HIPAA (Health Insurance Portability and Accountability Act)
- NIST Cybersecurity Framework (CSF)
- ISO 27001
Estas plantillas están diseñadas para mapear los datos recolectados por USM Anywhere con los requisitos específicos de cada estándar, facilitando la preparación para auditorías y la demostración de cumplimiento.
Plantillas por Tipo de Evento y Fuente de Datos: También existen plantillas predefinidas que se centran en tipos específicos de eventos (ej. eventos de firewall, eventos de autenticación) o en fuentes de datos particulares, lo que simplifica la generación de informes operativos comunes.
Creación de Informes Personalizados: Más allá de las plantillas, los usuarios tienen una gran flexibilidad para crear informes personalizados sobre Alarmas, Activos, Eventos, Vulnerabilidades y Problemas de Configuración.
Al generar un informe personalizado, se pueden configurar:
Filtros: Para seleccionar los datos exactos que se incluirán.
Rango de Fechas: Para definir el período de tiempo cubierto por el informe.
Formato: Exportación en PDF o CSV.
Programación: Frecuencia de generación (Nunca, Diario, Semanal, Quincenal, Mensual).
Notificación por Email: Envío automático del informe a destinatarios específicos.
Límite de Registros: Para controlar el tamaño del informe.
Gráficos (solo PDF): Inclusión de visualizaciones gráficas para mejorar la comprensión.87
Dashboards:
USM Anywhere ofrece dashboards personalizables que proporcionan una visualización de alto nivel de las métricas de seguridad y la actividad del entorno.
Los dashboards se componen de widgets que muestran información específica (ej. alarmas por severidad, eventos por fuente de datos, principales vulnerabilidades).
Estos widgets suelen ser interactivos, permitiendo al usuario hacer clic para profundizar en los datos subyacentes.
Dashboard Ejecutivo: Existe un dashboard específico, el “Executive Dashboard”, diseñado para proporcionar a la dirección una visión general y concisa de la postura de seguridad de la organización.
Incluye widgets que resumen métricas clave de investigaciones, alarmas, vulnerabilidades y eventos, facilitando la toma de decisiones y la comprensión del rendimiento del programa de seguridad.
Los usuarios pueden clonar y personalizar este dashboard para adaptarlo a las necesidades específicas de sus informes ejecutivos.
La capacidad de adaptar los informes y dashboards a diferentes audiencias es fundamental.
Mientras que los equipos técnicos pueden necesitar informes detallados con todos los eventos y configuraciones, la dirección ejecutiva o los auditores requieren resúmenes concisos, métricas de alto nivel y visualizaciones claras que demuestren el estado de la seguridad, el cumplimiento y el retorno de la inversión.
El “Executive Dashboard” es un ejemplo claro de cómo USM Anywhere busca facilitar esta comunicación con los stakeholders no técnicos. El uso efectivo de estas herramientas de visualización y reporte es vital para comunicar el valor del programa de seguridad, justificar inversiones y asegurar el cumplimiento continuo.
F. Monitorización de Salud del Sistema
Para garantizar que USM Anywhere funcione de manera óptima y fiable, es esencial monitorizar proactivamente la salud y el rendimiento de la propia plataforma, incluyendo sus sensores y el consumo de recursos en la nube.100 Ignorar estas métricas podría llevar a una degradación del servicio, pérdida de visibilidad o incluso a una falsa sensación de seguridad si la plataforma no está procesando los datos correctamente.
System Monitor:
Accesible para usuarios con rol de Manager en Settings > System > System Monitor, esta herramienta proporciona estadísticas sobre los datos recibidos de los sensores dentro de un marco temporal seleccionable (últimas 7 o 24 horas).
Métricas Clave Visualizadas:
Total Events Per Second (EPS): Muestra la tasa de eventos recibidos por segundo (actual y filtrados). Caídas repentinas pueden indicar problemas de recolección, mientras que niveles sostenidamente altos pueden señalar un aumento del tráfico o incidentes.
Fuzzied Events: Eventos que no pudieron ser completamente normalizados por un plugin específico y fueron procesados por el “LevelBlue Generic Data Source”.
CPU Utilization (%): Uso total de la CPU del sensor. Niveles consistentemente altos pueden indicar sobrecarga.
CPU Load Average: Carga promedio de la CPU, indicando cuántos procesos están en ejecución o esperando.
Disk (Software) (%): Espacio en disco utilizado por el software del sensor.
Disk (Data) (%): Espacio en disco utilizado para almacenar datos temporalmente en el sensor.
Memory Utilization (%): Uso de la memoria RAM del sensor.
Swap Usage (%): Uso del espacio de intercambio (swap). Un uso constante de swap indica posible falta de RAM.
Monitorización del Rendimiento del Sensor: Aunque la documentación no detalla métricas específicas de rendimiento por sensor de forma exhaustiva en los snippets proporcionados, la salud general del sensor (conectividad, capacidad de procesamiento de EPS) es implícitamente monitorizada y crucial para el funcionamiento de la plataforma.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en
Apagón en España 2025: auténtico papelón
Seguridad Publicitaria: GOOGLE propone seguridad exhaustiva en 2025
IA Enemiga 2025: ¿Tu Ciber Seguridad está a la altura?
Ciberseguridad en Argentina: estudio gratuito en 2025
Seguridad Cibernética en la aviación: acuerdo Latam/IBM 2025
LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBl
LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, ue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue, LevelBlue,