Solicitud de Propuesta: Plataformas de Detección y Respuesta Extendida (XDR)
Índice
- Introducción y antecedentes
- Objetivos del proyecto
- Alcance del trabajo
- Requisitos técnicos
- Requisitos funcionales
- Cualificaciones de los proveedores
- Criterios de evaluación
- Normas de presentación
- Cronología
1. Introducción y antecedentes
busca propuestas para una plataforma integral de detección y respuesta ampliadas (XDR) que mejore nuestra infraestructura de ciberseguridad. Esta RFP describe nuestros requisitos para una solución de seguridad avanzada que integre múltiples productos de seguridad en un sistema cohesivo, proporcionando capacidades mejoradas de detección de amenazas y respuesta en toda nuestra pila tecnológica.
Postura actual en materia de seguridad
- Queremos aplicar un enfoque unificado a la supervisión y respuesta en materia de seguridad
- La solución debe recopilar y correlacionar datos de diversas fuentes, como puntos finales, redes, cargas de trabajo en la nube, sistemas de correo electrónico y servidores.
- La integración con las herramientas e infraestructuras de seguridad existentes es esencial
Objetivos del proyecto
Los principales objetivos de la implantación de una plataforma XDR son:
- Mejorar las capacidades de detección y respuesta a las amenazas en toda la pila tecnológica de la organización.
- Consolidar las herramientas de seguridad y mejorar la eficacia operativa
- Reforzar nuestra postura general de seguridad mediante análisis avanzados y automatización.
- Garantizar el cumplimiento de la normativa y las normas de privacidad pertinentes
2. Alcance del trabajo
El proveedor seleccionado será responsable de:
Aplicación e integración
- Implantación de una plataforma XDR completa
- Integración con la infraestructura y las herramientas de seguridad existentes
- Configuración de la recogida de datos de múltiples fuentes:
- Puntos finales
- Redes
- Cargas de trabajo en la nube
- Sistemas de correo electrónico
- Servidores
Funciones básicas
- Recogida e integración de datos
- Agregación sin fisuras de datos de múltiples fuentes
- Integración con las herramientas de seguridad existentes
- Procesamiento y correlación de datos en tiempo real
- Detección de amenazas y respuesta
- Análisis avanzados para una identificación exhaustiva de las amenazas
- Capacidad de respuesta automática
- Análisis de amenazas entre dominios
- Control y visibilidad
- Mayor visibilidad en todas las capas de seguridad
- Amplias funciones de supervisión
- Funciones de caza de amenazas en tiempo real
3. Requisitos técnicos
- Arquitectura de plataformas
- Arquitectura nativa en la nube
- Opciones de implantación ampliables
- Diseño de alta disponibilidad
- Capacidad de equilibrio de carga
- Apoyo a la recuperación en caso de catástrofe
- Requisitos de rendimiento
- Tratamiento de datos en tiempo real
- Latencia mínima en la detección de amenazas
- Utilización eficiente de los recursos
- Solución de almacenamiento escalable
- Funciones de búsqueda de alta velocidad
- Requisitos de seguridad
- Cifrado de extremo a extremo
- Control de acceso basado en funciones
- Autenticación multifactor
- Registro de auditoría
- Puntos finales de API seguros
- Requisitos de integración
- API estándar
- Compatibilidad con formatos de datos comunes
- Integración de herramientas de terceros
- Capacidades de integración personalizadas
- Compatibilidad con webhooks
4. Requisitos funcionales
1. Recogida e integración de datos
Consejo: La base de una plataforma XDR eficaz reside en su capacidad para recopilar y unificar datos de diversas fuentes. Concéntrese en evaluar tanto la amplitud de las fuentes de datos compatibles como la profundidad de las capacidades de integración. Tenga en cuenta la compatibilidad de la infraestructura existente y las necesidades futuras de escalabilidad.
| Requisito |
Subrequisito |
S/N |
Notas |
| Recogida de fuentes de datos |
Recogida en los puntos finales |
|
|
| |
Recogida en las redes |
|
|
| |
Recogida de cargas de trabajo en la nube |
|
|
| |
Recogida en sistemas de correo electrónico |
|
|
| |
Recogida en servidores |
|
|
| Capacidades de integración |
Integración con el SIEM existente |
|
|
| |
Integración con sistemas cortafuegos |
|
|
| |
Integración con soluciones EDR |
|
|
| |
Integración con sistemas de gestión de identidades |
|
|
| Tratamiento de datos |
Ingesta de datos en tiempo real |
|
|
| |
Normalización de datos |
|
|
| |
Enriquecimiento de datos |
|
|
2. Detección unificada de amenazas
Consejo: Un sistema robusto de detección de amenazas debe proporcionar una visibilidad completa al tiempo que minimiza los falsos positivos. Evalúe la capacidad de la solución para correlacionar amenazas en distintas capas de seguridad y su eficacia para identificar patrones de ataque sofisticados.
| Requisito |
Subrequisito |
S/N |
Notas |
| Visibilidad de las amenazas |
Supervisión de amenazas entre pilas |
|
|
| |
Detección de amenazas en tiempo real |
|
|
| |
Análisis histórico de amenazas |
|
|
| Capacidades analíticas |
Correlación de datos entre fuentes |
|
|
| |
Análisis del comportamiento |
|
|
| |
Reconocimiento de patrones |
|
|
| |
Detección de anomalías |
|
|
3. Capacidad de respuesta automática
Consejo: Considere tanto las capacidades de automatización como la flexibilidad para personalizar las acciones de respuesta. Busque soluciones que equilibren las respuestas automatizadas con la supervisión humana y que ofrezcan pistas de auditoría claras de todas las acciones realizadas.
| Requisito |
Subrequisito |
S/N |
Notas |
| Integración IA/ML |
Respuesta basada en el aprendizaje automático |
|
|
| |
Clasificación automática de amenazas |
|
|
| |
Adaptación dinámica de la respuesta |
|
|
| Orquestación de respuestas |
Acciones de respuesta entre capas |
|
|
| |
Guías de respuestas personalizables |
|
|
| |
Validación de la acción de respuesta |
|
|
| |
Funciones de reversión |
|
|
4. Mayor visibilidad
Consejo: La solución debe proporcionar tanto una visión general como detalles granulares cuando sea necesario. Concéntrese en evaluar la profundidad de la visibilidad a través de diferentes entornos y la capacidad de pivotar rápidamente entre vistas de alto nivel y detalladas.
| Requisito |
Subrequisito |
S/N |
Notas |
| Visibilidad multicapa |
Visibilidad del punto final |
|
|
| |
Visibilidad de la red |
|
|
| |
Visibilidad del entorno de nube |
|
|
| Capacidad de control |
Control en tiempo real |
|
|
| |
Análisis de datos históricos |
|
|
| |
Descubrimiento de activos |
|
|
| Caza de amenazas |
Funciones de consulta personalizadas |
|
|
| |
Flujos de trabajo de caza de amenazas |
|
|
| |
Herramientas de investigación |
|
|
5. Gestión de alertas y triaje
Consejo: La gestión eficaz de las alertas es crucial para la productividad de los SOC. Evalúe la capacidad de la solución para reducir la fatiga de las alertas y garantizar al mismo tiempo que no se pasen por alto las amenazas críticas. Considere las capacidades de triaje automatizadas y manuales.
| Requisito |
Subrequisito |
S/N |
Notas |
| Consolidación de alertas |
Agregación de alertas de múltiples fuentes |
|
|
| |
Deduplicación de alertas |
|
|
| |
Correlación de alertas |
|
|
| Reducción de falsos positivos |
Filtrado basado en el aprendizaje automático |
|
|
| |
Reglas de filtrado personalizadas |
|
|
| |
Validación de alertas |
|
|
| Gestión de prioridades |
Priorización automatizada |
|
|
| |
Reglas de prioridad personalizadas |
|
|
| |
Puntuación basada en el riesgo |
|
|
6. Análisis de amenazas entre dominios
Consejo: Un análisis eficaz entre dominios requiere tanto profundidad como amplitud de visibilidad. Busque soluciones que no solo recopilen datos de todos los dominios, sino que también los correlacionen y analicen de forma significativa para proporcionar información práctica y descripciones claras de los ataques.
| Requisito |
Subrequisito |
S/N |
Notas |
| Contexto de la amenaza |
Correlación telemétrica entre dominios |
|
|
| |
Visualización de la cadena de ataque |
|
|
| |
Atribución del actor de la amenaza |
|
|
| Análisis de impacto |
Evaluación del impacto de la acogida |
|
|
| |
Análisis del impacto en la red |
|
|
| |
Evaluación del impacto empresarial |
|
|
| Análisis de las causas |
Identificación inicial del vector de ataque |
|
|
| |
Trazado de la trayectoria de propagación |
|
|
| |
Análisis de los factores contribuyentes |
|
|
| Creación de plazos |
Secuenciación de eventos |
|
|
| |
Correlación temporal |
|
|
| |
Integración en el contexto histórico |
|
|
7. Escalabilidad
Consejo: No sólo hay que tener en cuenta las necesidades actuales, sino también el crecimiento futuro. La solución debe gestionar volúmenes de datos cada vez mayores, nuevas herramientas de seguridad y una infraestructura en expansión sin una degradación significativa del rendimiento ni cambios en la arquitectura.
| Requisito |
Subrequisito |
S/N |
Notas |
| Crecimiento organizativo |
Posibilidad de aumentar el número de puntos finales |
|
|
| |
Modelo de licencia flexible |
|
|
| |
Asistencia multisede |
|
|
| Gestión del volumen de datos |
Almacenamiento de datos escalable |
|
|
| |
Políticas de conservación de datos |
|
|
| |
Optimización del rendimiento |
|
|
| Adaptabilidad de las infraestructuras |
Escalabilidad de la nube |
|
|
| |
Capacidad de ampliación in situ |
|
|
| |
Apoyo a la implantación híbrida |
|
|
8. Interfaz de usuario e informes
Consejo: la interfaz debe equilibrar potencia y facilidad de uso, de modo que permita tanto una visión rápida a los analistas noveles como una investigación en profundidad a los usuarios avanzados. Los informes deben ser completos y personalizables.
| Requisito |
Subrequisito |
S/N |
Notas |
| Diseño de interfaces |
Navegación intuitiva |
|
|
| |
Vistas basadas en funciones |
|
|
| |
Cuadros de mando personalizables |
|
|
| Herramientas de investigación |
Caza interactiva de amenazas |
|
|
| |
Análisis visual de enlaces |
|
|
| |
Funciones avanzadas de búsqueda |
|
|
| Funciones de información |
Plantillas de informes predefinidas |
|
|
| |
Creación de informes personalizados |
|
|
| |
Informes programados |
|
|
| |
Resúmenes ejecutivos |
|
|
| |
Informes técnicos detallados |
|
|
9. Integración de inteligencia sobre amenazas
Consejo: Concéntrese tanto en la calidad de la inteligencia integrada sobre amenazas como en la capacidad de la plataforma para operacionalizarla eficazmente. Tenga en cuenta la capacidad de la solución para combinar la inteligencia externa con el contexto interno.
| Requisito |
Subrequisito |
S/N |
Notas |
| Fuentes de información |
Integración comercial de piensos |
|
|
| |
Inteligencia de fuentes abiertas |
|
|
| |
Información sectorial |
|
|
| Gestión de inteligencia |
Gestión de indicadores |
|
|
| |
Inteligencia |
|
|
| |
Creación de inteligencia personalizada |
|
|
| Integración operativa |
Correlación en tiempo real |
|
|
| |
Enriquecimiento automatizado |
|
|
| |
Caza retroactiva |
|
|
10. Cumplimiento y privacidad de datos
Consejo: asegúrese de que la solución no sólo ayuda a mantener el cumplimiento, sino que también proporciona pruebas de ello. Tenga en cuenta tanto los requisitos normativos actuales como las posibles obligaciones futuras.
| Requisito |
Subrequisito |
S/N |
Notas |
| Tratamiento de datos |
Recogida de datos conforme |
|
|
| |
Apoyo a la soberanía de datos |
|
|
| |
Funciones de enmascaramiento de datos |
|
|
| Cumplimiento de la normativa |
Cumplimiento del GDPR |
|
|
| |
Cumplimiento de la HIPAA |
|
|
| |
Cumplimiento de PCI DSS |
|
|
| Controles de privacidad |
Controles de acceso |
|
|
| |
Anonimización de datos |
|
|
| |
Gestión del consentimiento |
|
|
| Apoyo a la auditoría |
Informes de conformidad |
|
|
| |
Registros de auditoría |
|
|
| |
Recogida de pruebas |
|
|
11. API y apoyo a la integración
Consejo: Las API deben estar bien documentadas, ser seguras y soportar tanto las necesidades básicas de integración como los escenarios avanzados de automatización. Tenga en cuenta la exhaustividad de la superficie de la API y la calidad de la asistencia al desarrollador.
| Requisito |
Subrequisito |
S/N |
Notas |
| Funciones API |
Compatibilidad con API RESTful |
|
|
| |
Acceso a los datos en tiempo real |
|
|
| |
Apoyo a las operaciones a granel |
|
|
| Funciones de integración |
Desarrollo de integraciones personalizadas |
|
|
| |
Integraciones prediseñadas |
|
|
| |
Compatibilidad con webhooks |
|
|
| Apoyo al desarrollo |
Documentación API |
|
|
| |
Herramientas para desarrolladores |
|
|
| |
Disponibilidad de código de muestra |
|
|
| Controles de seguridad |
Autenticación API |
|
|
| |
Limitación de velocidad |
|
|
| |
Registro de acceso |
|
|
12. Supervisión y alerta en tiempo real
Consejo: Las capacidades en tiempo real deben equilibrar la velocidad con la precisión. Considere tanto la puntualidad de las alertas como la capacidad del sistema para mantener el rendimiento en condiciones de gran volumen.
| Requisito |
Subrequisito |
S/N |
Notas |
| Capacidad de control |
Tratamiento de datos en tiempo real |
|
|
| |
Supervisión continua de activos |
|
|
| |
Control del rendimiento |
|
|
| Gestión de alertas |
Generación de alertas en tiempo real |
|
|
| |
Enrutamiento de alertas |
|
|
| |
Normas de supresión de alertas |
|
|
| Estado del sistema |
Vigilancia de la salud |
|
|
| |
Supervisión de la capacidad |
|
|
| |
Seguimiento de latencia |
|
|
| Sistemas de notificación |
Múltiples canales de notificación |
|
|
| |
Notificaciones personalizables |
|
|
| |
Flujos de trabajo de escalada |
|
|
13. Funciones basadas en IA
Consejo: Las capacidades de IA deben mejorar el análisis humano en lugar de sustituirlo. Busque soluciones que ofrezcan decisiones de IA explicables y permitan la supervisión humana al tiempo que automatizan las tareas rutinarias y proporcionan capacidades analíticas avanzadas.
| Requisito |
Subrequisito |
S/N |
Notas |
| Análisis de casos |
Generación de resúmenes de casos de IA |
|
|
| |
Correlación de eventos y entidades |
|
|
| |
Recomendaciones |
|
|
| Análisis de mandos |
Desofuscación por línea de comandos |
|
|
| |
Análisis de intenciones |
|
|
| |
Evaluación del impacto en la seguridad |
|
|
| Funciones de búsqueda |
Consultas en lenguaje natural |
|
|
| |
Optimización de la búsqueda en el lago de datos |
|
|
| |
Resultados adaptados al contexto |
|
|
| Integración de MITRE ATT&CK |
Asignación automática de TTP |
|
|
| |
Clasificación de las tácticas |
|
|
| |
Identificación de técnicas |
|
|
| Modelos avanzados de IA |
Integración de modelos ciberentrenados |
|
|
| |
Reconocimiento de patrones de ataque |
|
|
| |
Análisis del comportamiento |
|
|
| Inteligencia sobre amenazas |
Detección mejorada por ML |
|
|
| |
Correlación automática de amenazas |
|
|
| |
Información actualizada en tiempo real |
|
|
| Automatización de la respuesta |
Guías de juego basadas en IA |
|
|
| |
Respuesta basada en escenarios |
|
|
| |
Orquestación automatizada |
|
|
| Análisis predictivo |
Previsión de tendencias de ataque |
|
|
| |
Predicción de vulnerabilidades |
|
|
| |
Evaluación de riesgos |
|
|
| Automatización del SOC |
Automatización del flujo de trabajo |
|
|
| |
Optimización de recursos |
|
|
| |
Priorización de tareas |
|
|
| Aprendizaje adaptativo |
Entrenamiento continuo del modelo |
|
|
| |
Aprendizaje de datos finales |
|
|
| |
Mejora dinámica de la seguridad |
|
|
| Análisis en tiempo real |
Agregación de datos basada en IA |
|
|
| |
Correlación telemétrica |
|
|
| |
Generación de información en tiempo real |
|
|
5. Cualificación de los proveedores
Cualificaciones requeridas
- Mínimo 5 años de experiencia en XDR o soluciones de seguridad relacionadas
- Historial probado de implantaciones empresariales con éxito
- Fuerte presencia en el mercado de la ciberseguridad
- Base de clientes establecida con referencias verificables
- Equipo especializado de asistencia y mantenimiento
- Hoja de ruta clara para el desarrollo de productos
- Estabilidad y sostenibilidad financieras
Cualificaciones preferidas
- Reconocimiento del sector por parte de analistas (Gartner, Forrester)
- Experiencia en sectores verticales similares
- Presencia local de apoyo
- Programa activo de investigación y desarrollo
- Ecosistema de socios establecido
6. Criterios de evaluación
Las propuestas se evaluarán en función de los siguientes criterios:
| Criterio |
Peso |
| Capacidad técnica |
30% |
| Capacidad de integración |
20% |
| Capacidades AI/ML |
15% |
| Facilidad de uso |
10% |
| Coste |
10% |
| Experiencia del proveedor |
10% |
| Asistencia y mantenimiento |
5% |
7. Normas de presentación
Los vendedores deben presentar:
- Propuesta técnica detallada
- Metodología de aplicación
- Calendario del proyecto
- Estructura de precios
- Perfil de la empresa
- Referencias de clientes
- Planes de asistencia y mantenimiento
- Detalles del programa de formación
8. Cronología
| Hito |
Fecha |
| Publicación de la RFP |
|
| Preguntas Plazo |
|
| Fecha de vencimiento de la propuesta |
|
| Presentaciones de proveedores |
|
| Decisión de selección |
|
| Inicio del proyecto |
|
9. Información de contacto
Para preguntas y presentación de propuestas:
