Dirigido por equipos en la orquestación de flujo de trabajo y la plataforma de IA Tines, la Biblioteca Tines presenta más de 1,000 flujos de trabajo preconstruidos compartidos por profesionales de seguridad de toda la comunidad.
Los últimos destacados son los flujos de trabajo que manejan alertas de malware en Cloud Strike, Oomnitza, Github y Pagerduty. El flujo de trabajo desarrollado por Lucas Cantor, creador de Fin.ai, hace que sea más fácil determinar la gravedad de las alertas de seguridad y aumentar sin problemas según las respuestas del propietario del dispositivo. «Esta es una excelente manera de reducir el ruido y agregar contexto a los problemas de seguridad agregados al punto final», explica Lucas.
En esta guía, compartimos una visión general del flujo de trabajo, así como las instrucciones paso a paso para ponerlo en funcionamiento.
Problema: falta de integración entre las herramientas de seguridad
Para los equipos de seguridad, puede llevar mucho tiempo responder a las amenazas de malware, analizar la gravedad e identificar a los propietarios de dispositivos para que puedan resolverse.
Desde una perspectiva de flujo de trabajo, los equipos a menudo tienen que:
Enriquecer las alertas con documentos de metadatos adicionales que responden manualmente a los eventos de crowdstrike y los equipos de llamadas de alerta para notificar a través de PagerDuty
Pasar este proceso causa retrasos manualmente y aumenta la probabilidad de error humano.
Soluciones: creación automática de entradas, identificación de dispositivos, triaje de amenazas
Los flujos de trabajo preconstruidos de Lucas automatizan el proceso de tomar alertas de malware y crear casos, y notificar definitivamente a los propietarios de dispositivos y equipos de guardia. Este flujo de trabajo ayuda a los equipos de seguridad a identificar niveles de amenazas más precisos cada vez más rápido:
Descubra nuevas alertas de Cloud Strike Identifique y notifique a los propietarios de dispositivos de problemas importantes que aumentan
El resultado es una respuesta simplificada a las alertas de seguridad de malware que aseguran que se traten rápidamente, independientemente de la gravedad.
Beneficios importantes de este flujo de trabajo:
Los propietarios de dispositivos de reducción del tiempo de reparación serán notificados a un sistema de gestión centralizado de reparación y escalada clara
Descripción general del flujo de trabajo
Herramientas utilizadas:
Tines – Orquestación de flujo de trabajo y plataforma de IA (Edición comunitaria gratuita disponible) Striker de la nube – Inteligencia de amenazas y plataforma EDR Oomnitza – Plataforma de gestión de activos de TI GitHub – Plataforma de desarrollador PagerDuty – Plataforma de gestión de incidentes – Plataforma de colaboración de equipo
Cómo funciona
Parte 1
Obtenga alertas de seguridad de CrowdStrike Encuentre el dispositivo que se ha activado con una alerta, busque sus detalles, cree un boleto de GitHub para la alerta y plantee el problema con un mensaje flojo si el dispositivo es propiedad del usuario y es bajo.
Parte 2
Obtenga la interacción del usuario con mensajes flojos y si el propietario aumenta el problema, enriquece los problemas de GitHub con la respuesta del usuario crea un evento holandés Poser para notificar a los analistas de guardia
Configuración de flujos de trabajo-Guía paso a paso
1. Inicie sesión en Tyne o cree una nueva cuenta.
2. Vaya al flujo de trabajo preconstruido de la biblioteca. Seleccionar (importar). Esto requiere una toma directa de nuevos flujos de trabajo preconstruidos.
3. Establezca sus credenciales
Se deben agregar cinco credenciales al inquilino Tines.
Nube stitlegingoomnitza github Pagerduty Slack
Tenga en cuenta que también puede usar servicios similares a los mencionados anteriormente. Ajuste el flujo de trabajo.
Desde la página de credenciales, seleccione sus nuevas credenciales y desplácese a las credenciales relevantes para completar los campos requeridos. Siga a CrowdStrike, Oomnitza, Github, Pagerduty y guías de credenciales Slack.
4. Configure la acción.
Establezca las variables de entorno. Esto incluye el canal Slack IT Alerting Webhook (`slack_channel_webhook_urls_prod`) Cloud Striker/GitHub Severity Priority Mapping (` crowdstrike_to_github_priority_map`) crowdStrike para configurar crowdstrike y cuando detecté un slack butbot, obtuve un webhook cuando hice un newdrike de newdsike.
5. Pon a prueba tu flujo de trabajo.
6. Publicar y operar
Una vez probado, publique su flujo de trabajo.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.
Source link
