No. Monitorare la stessa struttura su due SIEM differenti non è una buona idea e i due monitoraggi possono conflittuare facilmente. L'Agent non è quindi installabile in questo caso, tuttavia se desideri entrare a far parte della rete (Constituency) del CERT-Ransomfeed per aggiornamenti e reportistica periodica riservata, contattaci e inseriremo ugualmente la tua email nelle nostre comunicazioni.
La piattaforma del CERT è basata su strumenti certificati: il cui cuore è Wazuh. Aiuta le aziende a proteggere i propri dati e a mantenere la conformità, in particolare per quanto riguarda il GDPR, registrando e analizzando le date degli eventi, rilevando in tempo reale gli incidenti di sicurezza e valutando le vulnerabilità.
Questo CERT contribuisce alla conformità al GDPR consentendo la registrazione dettagliata delle attività relative ai dati e l'analisi degli incidenti di sicurezza, al fine di poter reagire tempestivamente alle violazioni dei dati. Gli alert supportano le aziende nell'implementazione delle misure tecniche e organizzative necessarie.
L'agente è un processo leggero che viene installato sui sistemi da monitorare. Raccoglie dati di registro e file di log di sicurezza rilevanti nel sistema operativo e li invia al CERT per l'analisi, contribuendo alla sicurezza complessiva della macchina.
L'Agent che viene installato sui dispositivi endpoint è il Wazuh Agent. Serve per raccogliere dati relativi alla sicurezza da fonti come log di sistema, traffico di rete e processi di sistema. Funziona su diversi dispositivi, inclusi server, desktop e laptop. L'agente invia questi dati al nostro CERT per l'analisi, in tempo reale. È leggero e ha un impatto minimo sulle prestazioni del sistema, il che lo rende adatto alla maggior parte dei dispositivi endpoint.
I dati di log acquisiti dagli endpoint hanno una vita (certificata dalla piattaforma Wazuh) di 20 giorni. Dopo questo intervallo di tempo vengono eliminati definitivamente dall'infrastruttura. In nessun caso questi log vengono estratti o inviati ad altre piattaforme nè server paralleli. L'analisi di sicurezza necessaria a far scattare gli alert che offriamo, viene fatta nella stessa macchina e dallo stesso software in maniera del tutto automatizzata.