CARMEN, Centro de Análise de Rexistros e Minería de Eventos, é un desenvolvemento do Centro Criptolóxico Nacional e a empresa S2Grupo para a identificación do compromiso por parte de ameazas persistentes avanzadas (APT), constituíndo a primeira capacidade española, baseada en coñecemento e tecnoloxía nacionais, neste sentido.
CARMEN é unha ferramenta de adquisición, procesamento e análise de información para a xeración de intelixencia, principalmente a partir dos tráficos dunha rede. Componse de axentes que recompilan os fluxos de tráfico (elementos de adquisición), un motor de base de datos no que se insire a información e unha aplicación web que permite a representación e consulta da información obtida, para que un analista traballe con ela e tome decisións a partir dos resultados proporcionados pola ferramenta.
As orixes de datos que actualmente soporta CARMEN son:
· HTTP, tanto a partir dun proxy, como de forma pasiva.
· DNS, de forma pasiva.
· SMTP, de forma pasiva.
· IPC, de forma pasiva.
Sobre cada unha das fontes de datos, CARMEN permite a aplicación de regras predefinidas para a detección de usos indebidos e, especialmente, para a detección de anomalías significativas (estatísticas, cadeas de texto, series temporais e baseadas en coñecemento) que poidan ser indicativas dun compromiso na organización, así como a definición e integración de novo coñecemento na ferramenta, desde IOC ata condicións de anomalía.
CARMEN está orientada á identificación de movementos externos (servidores de C&C e servidores de exfiltración) e movementos laterais dunha ameaza persistente avanzada. As capacidades de adquisición e análise da ferramenta permiten cubrir as principais vías de comunicación destas ameazas co exterior (navegación web, consultas DNS e correo electrónico), así como diferentes mecanismos de comunicación interna na rede comprometida.
Adicionalmente á etapa de persistencia, CARMEN achega capacidades para a detección da ameaza na súa etapa de intrusión, principalmente condicións de anomalía para a detección de mecanismos habituais de entrada, como watering hole ou exploit kits, así como despregamento e integración de capacidades de sandboxing para a detección de spear phishing.
La operación con garantías de CARMEN requiere disponer de una certificación de empresa en aquellos organismos públicos en los que CARMEN se distribuye libre de costes de licencias, como soluciones desarrolladas por el CCN-CERT para el sector Público. Para obtener la certificación de partner de CARMEN, una empresa debe tener un número de profesionales certificados en cada una de las áreas de especialización en función del número de clientes.
El programa da acceso a los servicios de soporte de nivel 1 y nivel 2 son proporcionados por el fabricante (S2 Grupo)
Las empresas con certificación de empresa o en vías de certificación para operar CARMEN en el sector Público libre de costes de licencias, como soluciones desarrolladas por el CCN-CERT:
| Nombre | Razón social | Web | Estado de certificación |
|---|---|---|---|
| CSA | Centro Regional de Servicios Avanzados, S.A. | www.csa.es |
CERTIFICADA |
| Govertis | GOVERTIS ADVISORY SERVICES S.L. | www.govertis.com |
CERTIFICADA |
| Grupo ICA | ICA SISTEMAS Y SEGURIDAD S.L. | grupoica.com |
CERTIFICADA |
| Innotec Security, a Part of Accenture | InnoTec System, S.L.U. | Innotec.security |
CERTIFICADA |
| S2 Grupo | S2 Grupo de Innovación en Procesos Organizativos, S.L | s2grupo.es |
CERTIFICADA |
Más información
Contacto: 
Clave PGP Descargar
FINGERPRINT CCFE 30F5 2D0D 60BB 6C8C F1E4 CC65 C901 8DE2 B669
