Notifica degli allarmi e reportistica
La dashboard di gestione della nostra soluzione XDR offre la funzionalità di definizione dei cosiddetti punti di contatto ai quali inviare la notifica di alerts. Ciascun punto di contatto consente di configurare la metodologia di invio della notifica stessa.
Di seguito uno screenshot che mostra la configurazione di un punto di contatto con metodo di notifica e-mail:
Sono supportati molti altri canali di notifica come Telegram, Slack, Discord e Webhook per qualsiasi altra piattaforma di Instant Messaging (IM).
Sempre dalla piattaforma di management è possibile configurare gli alert per il monitoraggio di determinati eventi rilevanti per lo scenario in esame, ciascun alert può essere associato ad una policy di notifica attiva su un punto di contatto. Così facendo l’attivazione dell’alert sarà automaticamente notificata al punto di contatto selezionato. Il punto di contatto potrebbe essere un altro sistema o apparato di rete in grado di reagire all’alert stesso. Infatti, attraverso l’attivazione di Webhook è possibile notificare l’incidente arricchendo il messaggio con metadati e informazioni utili,ad esempio agli apparati di rete (firewall) per applicare contromisure parametrizzate sui metadati stessi (blocco di un determinato indirizzo IP).
Per ciascun alert è possibile configurare una metodologia di invio della notifica, scegliendo uno o più punti di contatto. In aggiunta La generazione di un alert sull’XDR viene opportunamente notificata agli altri sistemi di cybersecurity attivi sull’infrastruttura (SIEM, SOAR). Contestualmente alla notifica viene fornita ai già menzionati sistemi una serie di informazioni (metadati) utili ai fini della generazione di un report di sicurezza che include tutte le informazioni di contesto necessarie incluso un ritaglio di schermata della visualizzazione grafica dell’alert che ha generato l’allarme. La generazione effettiva del report è delegata al modulo SOAR che se lo reputa opportuno innesca la relativa produzione documentale.