Dirigido por equipos en la orquestación de flujo de trabajo y la plataforma de IA Tines, la Biblioteca Tines presenta más de 1,000 flujos de trabajo preconstruidos compartidos por profesionales de seguridad de toda la comunidad.
Nuestro énfasis en los flujos de trabajo agiliza el procesamiento de alerta de seguridad al identificar y ejecutar automáticamente los procedimientos operativos estándar (SOP) apropiados desde Confluence. Cuando se activa una alerta, el agente de IA lo analiza, encuentra los SOP relevantes y realiza los pasos de reparación necesarios.
Fue creado por Michael Tolan, investigador de seguridad L2 en Tines, y Peter Wrenn, ingeniero senior de soluciones en Tines.
En esta guía, compartimos una visión general del flujo de trabajo, así como las instrucciones paso a paso para ponerlo en funcionamiento.
Problema – Triage de alerta manual y carrera SOP
Para los equipos de seguridad, para responder de manera eficiente a las alertas, deben identificar rápidamente los tipos de amenazas, encontrar el SOP adecuado y realizar los pasos de reparación necesarios.
Desde una perspectiva de flujo de trabajo, los equipos a menudo tienen que:
Analice manualmente las búsquedas de alertas de seguridad entrantes a través de la confluencia de hallazgos y acciones en documentos SOPS relacionados.
Este proceso manual requiere mucho tiempo, es propenso al error humano y puede conducir al procesamiento inconsistente de alertas similares.
Solución – Triage de alerta impulsada por IA con ejecución automática de SOP
Este flujo de trabajo preconstruido automatiza todo el proceso de triaje de alerta al aprovechar los agentes de IA y los SOP de confluencia. Este flujo de trabajo ayuda a su equipo de seguridad a responder de manera más rápida y consistente.
Use AI para clasificarlo utilizando AI para buscar automáticamente las SOPS relacionadas en Confluence. Cree un registro de caso estructurado para rastrear la implementación de un segundo agente de IA (subagente), realice un paso de reparación que documente todas las acciones y notifique al equipo de guardia a través de Slack
El resultado es una respuesta simplificada a alertas de seguridad que aseguran un procesamiento constante de acuerdo con los procedimientos establecidos.
Beneficios importantes de este flujo de trabajo
Reduzca el tiempo promedio para los pasos de seguridad de tiempo correctivo (MTTR) para aplicaciones consistentes. Reduzca la fatiga del analista de las tareas repetitivas integrales de documentos y mejore la visibilidad a través de notificaciones automáticas
Descripción general del flujo de trabajo
Herramientas utilizadas:
Tines – Orquestación de flujo de trabajo y plataforma de IA (Edición comunitaria gratuita disponible) Confluencia – Plataforma de gestión del conocimiento SOPS
Este flujo de trabajo en particular también utiliza el siguiente software: sin embargo, junto con Tines y Confluence, puede usar las herramientas de enriquecimiento/reparación que actualmente existen dentro de la pila de tecnología.
CrowdStrike – Amenazas inteligencia y plataforma EDR AbasedIPDB – Representante de base de datos de reputación de IP – Servicio de reputación de correo electrónico OKTA – Identity and Access Management Slack – Plataforma de colaboración del equipo Tavily – Herramienta de investigación de IA URLScan.io – Servicio de análisis de URL
Cómo funciona
Parte 1: Advertencia para la ingesta y el análisis
Los agentes de IA que reciben alertas de seguridad de herramientas de seguridad integradas analizan alertas y buscan confluencias de SOP relacionados basados en la clasificación de alerta y crean registros de casos con detalles de alerta y SOP identificados
Parte 2: Reparaciones y documentos
Un segundo agente de IA revisa el caso, y el agente de IA de instrucción SOP ajusta las acciones de reparación a través de las herramientas de seguridad apropiadas, todas las acciones están documentadas en el historial del historial.
Configuración de flujos de trabajo-Guía paso a paso
1. Inicie sesión en Tyne o cree una nueva cuenta.
2. Vaya al flujo de trabajo preconstruido de la biblioteca. Seleccionar (importar).
3. Establezca sus credenciales
Debe tener credenciales para todas las herramientas utilizadas en este flujo de trabajo. Puede agregar o eliminar las herramientas deseadas de acuerdo con su entorno.
Confluence CrowdStrike Aubsipdb Correo electrónico PREP OKTA Slack Tavily urlscan.io Virustotal
Desde la página de credenciales, seleccione sus nuevas credenciales y desplácese a las credenciales relevantes para completar los campos requeridos. Siga la Guía de elegibilidad en Expladed.tines.com.
4. Configure la acción.
Establezca las variables de entorno. Este flujo de trabajo en particular requiere que configure un canal Slack específicamente para notificaciones (por defecto, está codificado en #alerts, pero se puede ajustar con acciones flojas).
5. Personalice el aviso de IA
El flujo de trabajo incluye dos agentes de IA importantes:
Agente de análisis de alerta: le ayuda a personalizar las indicaciones para identificar agentes de remediación de tipo de alerta: personalizar las indicaciones para guiar las acciones de reparación
6. Pruebe su flujo de trabajo.
Cree y revise la alerta de prueba.
El SOP correcto con las alertas correctamente categorizadas se toma de un caso de confluencia creado con los detalles apropiados.
7. Publicar y operar
Una vez probado, publique su flujo de trabajo e integre con herramientas de seguridad para comenzar a recibir alertas en vivo.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.
Source link
