Dirigido por el equipo en Workflow Orchestration y la plataforma AI Tines, la Biblioteca Tines presenta más de 1,000 flujos de trabajo preconstruidos compartidos por profesionales de seguridad de toda la comunidad, todos libres de importar e implementar a través de la estampado comunitaria de la plataforma.
El flujo de trabajo estamos destacando el manejo de alerta de seguridad de las líneas de funcionamiento identificando y ejecutando automáticamente los procedimientos operativos en serie (SOP) apropiados desde Confluence. Cuando se desencadena una alerta, los agentes de IA lo analizan, ubican los SOP relevantes y realizan los pasos de remediación requeridos, todo mientras mantiene informado al equipo de retén a través de Slack.
Fue creado por Michael Tolan, investigador de seguridad L2 en Tines, y Peter Wrenn, ingeniero senior de soluciones en Tines.
En esta timonel, compartiremos una descripción caudillo del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.
El problema – triage de alerta manual y ejecución de SOP
Para los equipos de seguridad, reponer a las alertas de guisa apto requiere identificar rápidamente el tipo de amenaza, acotar el SOP apropiado y ejecutar los pasos de remediación requeridos.
Desde una perspectiva de flujo de trabajo, los equipos a menudo tienen que:
- Analizar manualmente alertas de seguridad entrantes
- Despabilarse a través de la confluencia para los SOP relevantes
- Hallazgos y acciones de documentos en los sistemas de administración de casos
- Ejecutar múltiples pasos de remediación en diferentes herramientas de seguridad
- Poner al día el sistema de dependencia de casos nuevamente a posteriori del hecho
- Notifique a las partes interesadas sobre incidentes y acciones tomadas
Este proceso manual requiere mucho tiempo, es propenso al error humano y puede conducir a un manejo inconsistente de alertas similares.
La alternativa: triaje de alerta con IA con ejecución automatizada de SOP
Este flujo de trabajo preconstruido automatiza todo el proceso de triaje de alerta al emplear los agentes de IA y los SOP de confluencia. El flujo de trabajo ayuda a los equipos de seguridad a reponer de guisa más rápida y consistente por:
- Uso de IA para analizar y clasificar las alertas entrantes
- Sede cibernética de SOP relevantes en Confluence
- Creación de registros de casos estructurados para el seguimiento
- Despliegue de un segundo agente de IA (subagente) para ejecutar pasos de remediación
- Documentar todas las acciones y informar al equipo de retén a través de Slack
El resultado es una respuesta simplificada a alertas de seguridad que garantiza un manejo constante de acuerdo con los procedimientos establecidos.
Beneficios esencia de este flujo de trabajo
- Tiempo medio estrecho a la remediación (MTTR)
- Aplicación constante de los procedimientos de seguridad
- Documentación integral de todas las acciones tomadas
- Reducción de la dificultad del analista de tareas repetitivas
- Mejor visibilidad a través de notificaciones automatizadas
Descripción caudillo del flujo de trabajo
Herramientas utilizadas:
- Tines – Orquestación de flujo de trabajo y plataforma de IA (estampado comunitaria gratuita habitable)
- Confluence – Plataforma de administración del conocimiento para SOPS
Este flujo de trabajo específico todavía usos las siguientes piezas de software. Sin requisa, puede usar cualquier ganancia/remediación herramientas actualmente existente en el interior Su pila de tecnología próximo con Tines y Confluence.
- CrowdStrike – Plataforma de inteligencia de amenazas y EDR
- AbuseIPDB – Colchoneta de datos de reputación de IP
- Servicio de correos electrónicos – Servicio de reputación de correo electrónico
- OKTA – Dirección de identidad y comunicación
- Slack – Plataforma de colaboración del equipo
- Tavily – utensilio de investigación de IA
- URLScan.io – Servicio de exploración de URL
- Virustotal – Servicio de escaneo de archivos y URL
Cómo funciona
Parte 1: Ingestión y exploración de alerta
- Percibir alerta de seguridad de herramientas de seguridad integradas
- El agente de IA analiza la alerta para determinar el tipo y la pesadez
- Búsqueda del sistema Confluencia para los SOP relevantes basados en la clasificación de alerta
- Cree un registro de casos con detalles de alerta y SOP identificado
Parte 2: remediación y documentación
- El segundo agente de IA revisa el caso y las instrucciones SOP
- El agente de IA fanfarria las acciones de remediación en las herramientas de seguridad apropiadas
- Todas las acciones están documentadas en el historial de casos
- La notificación de Slack se envía al equipo de retén con detalles y acciones de alerta tomadas
Configuración del flujo de trabajo-guía paso a paso
1. Inicie sesión en Tines o cree una nueva cuenta.
2. Navegue al flujo de trabajo preconstruido en la biblioteca. Seleccione importar.
3. Configure sus credenciales
Necesitará credenciales para todas las herramientas utilizadas en este flujo de trabajo. Puede unir o eliminar las herramientas que desee para adaptarse a su entorno.
- Confluencia
- Crowdstrike
- Abusoipdb
- Correos electrónicos
- Okta
- Flojo
- Fusión
- Urlscan.io
- Virusta
Desde la página de credenciales, seleccione una nueva credencial, desplácese alrededor de debajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales en Expladed.tines.com si necesita ayuda.
4. Configure sus acciones.
Establezca sus variables de entorno. En este flujo de trabajo en particular, eso requiere específicamente establecer el canal Slack para notificaciones (codificado a #alerts de forma predeterminada, pero se puede ajustar en la hecho de Slack).
5. Personalice las indicaciones de IA
El flujo de trabajo incluye dos agentes esencia de IA:
- Agente de exploración de alerta: personalice el mensaje para ayudar a identificar tipos de alerta
- Agente de remediación: Personalice el indicador para orientar las acciones de remediación
6. Pruebe el flujo de trabajo.
Cree una alerta de prueba para revisar:
- Alerta se clasifica correctamente
- SOP correcto se recupera de Confluence
- El caso se crea con los detalles apropiados
- Se ejecutan los pasos de remediación
- Se envía una notificación floja
7. Divulgar y operacionalizar
Una vez probado, publique el flujo de trabajo e integre con sus herramientas de seguridad para comenzar a percibir alertas en vivo.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.
