Dirigido por el equipo en Workflow Orchestration y la plataforma AI Tines, la Biblioteca Tines presenta más de 1,000 flujos de trabajo preconstruidos compartidos por profesionales de seguridad de toda la comunidad, todos libres de importar e implementar a través de la impresión comunitaria de la plataforma.
Un destacado flamante es un flujo de trabajo que maneja alertas de malware con crowdstrike, oomnitza, github y pagerduty. Desarrollado por Lucas Cantor en Intercom, los creadores de Fin.ai, el flujo de trabajo facilita la determinación de la compromiso de una alerta de seguridad y la intensifica sin problemas, dependiendo de la respuesta del propietario del dispositivo. «Es una excelente forma de dominar el ruido y sumar contexto a los problemas de seguridad que igualmente se agregan en nuestros puntos finales», explica Lucas.
En esta dirección, compartiremos una descripción caudillo del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.
El problema: error de integración entre las herramientas de seguridad
Para los equipos de seguridad, replicar a las amenazas de malware, analizar su compromiso e identificar al propietario del dispositivo para que puedan ser contactados para resolver la amenaza, puede tomar mucho tiempo.
Desde una perspectiva de flujo de trabajo, los equipos a menudo tienen que:
- Argumenta manualmente a los eventos de crowdstrike
- Enriquecer la alerta con metadatos adicionales
- Documentar y alertar al propietario del dispositivo en Slack
- Advertir equipos de llamadas a través de PagerDuty
Acontecer por este proceso manualmente puede provocar retrasos y aumentar las posibilidades de error humano.
La alternativa: creación automatizada de entradas, identificación del dispositivo y triaje de amenazas
El flujo de trabajo preconstruido de Lucas automatiza el proceso de tomar la alerta de malware y crear el estuche, mientras que notifica de forma crucial al propietario del dispositivo y al equipo de guarda. Este flujo de trabajo ayuda a los equipos de seguridad a identificar con precisión el nivel de amenaza más rápido por:
- Detección de nuevas alertas de CrowdStrike
- Identificar y advertir al propietario del dispositivo
- Problemas críticos en aumento
El resultado es una respuesta simplificada a alertas de seguridad de malware que aseguran que sean tratados rápidamente, sin importar la compromiso.
Beneficios esencia de este flujo de trabajo:
- Tiempo de remediación corto
- El propietario del dispositivo se mantiene informado
- Remediación clara y vías de ascensión
- Sistema de mandato centralizado
Descripción caudillo del flujo de trabajo
Herramientas utilizadas:
- Tines – Orquestación de flujo de trabajo y plataforma de IA (impresión comunitaria gratuita arreglado)
- CrowdStrike – Plataforma de inteligencia de amenazas y EDR
- Oomnitza – Plataforma de mandato de activos de TI
- GitHub – Plataforma de desarrollador
- PagerDuty – Plataforma de mandato de incidentes
- Slack – Plataforma de colaboración del equipo
Cómo funciona
Parte 1
- Obtenga una alerta de seguridad de CrowdStrike
- Encuentre el dispositivo que se activó la alerta y busque sus detalles
- Cree un boleto en GitHub para la alerta y plantee el problema en un mensaje flojo
- Si el dispositivo es propiedad de un beneficiario y es una prioridad herido,
- Envíe al propietario un mensaje solicitando ascensión
- Si el dispositivo es propiedad de un beneficiario y es una ingreso prioridad,
- Cree un evento de PagerDuty para advertir al analista de guarda
- Informar al propietario del problema en curso
Parte 2
- Obtenga una interacción de beneficiario con el mensaje Slack
- Enriquecer el problema de GitHub con la respuesta de los usuarios
- Si el propietario intensifica el problema
- Cree un evento de PagerDuty para advertir al analista de guarda
Configuración del flujo de trabajo-guía paso a paso
1. Inicie sesión en Tines o cree una nueva cuenta.
2. Navegue hasta el flujo de trabajo preconstruido en la biblioteca. Seleccione importar. Esto debería llevarlo directamente a su nuevo flujo de trabajo preconstruido.
3. Configure sus credenciales
Necesitará cinco credenciales agregadas a su inquilino Tines:
- Crowdstrike
- Oomnitza
- Girub
- Tarta
- Flojo
Tenga en cuenta que igualmente se pueden usar servicios similares a los mencionados anteriormente, con algunos ajustes al flujo de trabajo.
Desde la página de credenciales, seleccione una nueva credencial, desplácese alrededor de debajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales de CrowdStrike, Oomnitza, Github, Pagerduty y Slack en Expladed.tines.com si necesita ayuda.
4. Configure sus acciones.
- Establezca sus variables de entorno. Esto incluye tu:
- Slack It Channel Alerting Webhook (`slack_channel_webhook_urls_prod`)
- Mapeo de prioridad de crowdstrike/github (`crowdstrike_to_github_priority_map`)
- Configurar crowdstrike para alertar al nuevo webhook de detección de crowdstrike cuando se crea una detección
- Configure su URL de interactividad SlackBot en el pimpollo Tomar Slack Push Webhook
5. Prueba el flujo de trabajo.
6. Editar y operacionalizar
Una vez probado, publique el flujo de trabajo.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.
