Dirigido por el equipo en Workflow Orchestration y la plataforma de IA Tines, la Biblioteca Tines presenta flujos de trabajo previos a la construcción compartidos por profesionales de seguridad de toda la comunidad, todo vacuo de importar e implementar a través de la estampación comunitaria de la plataforma.
Un destacado flamante es un flujo de trabajo que automatiza el monitoreo de los avisos de seguridad de CISA y otros proveedores, enriquece los avisos con la inteligencia de amenazas de crowdstrike y optimiza la creación y notificación de boletos. Desarrollado por Josh McLaughlin, ingeniero de seguridad de LivePerson, el flujo de trabajo reduce drásticamente el trabajo manual mientras mantiene a los analistas en control de las decisiones finales, ayudando a los equipos a mantenerse al tanto de las nuevas vulnerabilidades.
“Antaño de la automatización, crear boletos para 45 vulnerabilidades tomó unos 150 minutos de trabajo”, explica Josh. “Luego de la automatización, el tiempo necesario para el mismo número de boletos cayó a cerca de de 60 minutos, ahorrando un tiempo significativo y liberando a los analistas de tareas manuales como la copia y la navegación web”. El equipo de seguridad de LivePerson redujo el tiempo que lleva este proceso en un 60% a través de la automatización y la orquestación, creando un gran impulso tanto para la eficiencia como para la íntegro del analista.
En esta mentor, compartiremos una descripción común del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.
El problema: seguimiento manual de avisos críticos
Para los equipos de seguridad, la conciencia oportuna de las vulnerabilidades recientemente reveladas es esencial, pero el monitoreo de múltiples fuentes, enriqueciendo los avisos con inteligencia de amenazas y la creación de boletos para la remediación son tareas que requieren mucho tiempo y son tareas propensas a errores.
Los equipos a menudo tienen que:
- Consulte manualmente CISA y otras fuentes para obtener avisos
- CVES relacionados con la investigación
- Decide si se necesita argumento
- Crear manualmente boletos y comunicar a las partes interesadas
Estos pasos repetitivos no solo consumen un valioso tiempo de analista, sino que asimismo corren el aventura de respuestas inconsistentes si se pierde o retrasa una vulnerabilidad importante.
La alternativa: monitoreo automatizado, ganancia y boleto
El flujo de trabajo preconstruido de Josh automatiza el proceso de extremo a extremo, pero de modo crucial, mantiene a los analistas en control en los puntos de valentía esencia:
- Extrae nuevos avisos de CISA (o una nutriente de código extenso escogido)
- Enriquece los hallazgos utilizando la inteligencia de amenazas de CrowdStrike
- Notifica al equipo de seguridad en Slack y les pide que proporcionen información rápidamente a través de los recadero de aprobación y desmentir
- Tras la aprobación, crea automáticamente un boleto de servicio con los detalles de la vulnerabilidad.
El resultado es un proceso simplificado y apto que garantiza que las vulnerabilidades se rastreen y sean actuadas rápidamente, sin inmolar el pensamiento crítico y la priorización que solo los analistas pueden proporcionar.
Beneficios esencia de este flujo de trabajo:
- Reduce el esfuerzo manual y acelera el tiempo de respuesta
- Aprovecha la inteligencia de amenazas para una priorización más inteligente
- Asegura un manejo constante de nuevas vulnerabilidades
- Fortalece la colaboración entre los equipos de seguridad y de TI
- Aumenta la íntegro eliminando tareas tediosas
- Mantiene a los analistas en control con aprobaciones fáciles y rápidas
Descripción común del flujo de trabajo
Herramientas utilizadas:
- Tines – Orquestación de flujo de trabajo y plataforma de IA (estampación comunitaria apto)
- Crowdstrike – Plataforma de inteligencia de amenazas y EDR
- ServiceNow – Ticketing y la plataforma ITSM
- Slack – Plataforma de colaboración del equipo
Cómo funciona:
- Colección RSS Feed: obtiene los últimos avisos de la feed RSS de CISA
- Deduplicación: Filtra los avisos duplicados
- Filtrado de proveedores: se centra en los avisos de proveedores y servicios esencia (por ejemplo, Microsoft, Citrix, Google, Atlassian).
- Ascendencia de CVE: identifica las CVE de las descripciones de asesoramiento
- Ganancia: referencias cruzadas CVE con crowdstrike inteligencia de amenaza para un contexto adicional
- Notificación de Slack: envía una vulnerabilidad enriquecida con recadero de argumento a un canal de holgura dedicado
- Flujo de aprobación:
- Si se aprueba, el flujo de trabajo crea un boleto de servicio de servicio
- Si se niega, el flujo de trabajo registra la valentía sin crear un boleto
Configuración del flujo de trabajo-guía paso a paso
 |
| El formulario de registro de la estampación comunitaria de Tines |
1. Inicie sesión en Tines o crear una nueva cuenta.
2. Navegue a El flujo de trabajo preconstruido en la biblioteca. Seleccione importar. Esto debería llevarlo directamente a su nuevo flujo de trabajo preconstruido.
 |
| El flujo de trabajo en el panel de tiro y saliva de Tines |
 |
| Amplificar una nueva credencial en Tines |
3. Configure sus credenciales
Necesitará tres credenciales agregadas a su inquilino Tines:
- Crowdstrike
- Servicenow
- Flojo
Tenga en cuenta que asimismo se pueden usar servicios similares a los mencionados anteriormente, con algunos ajustes al flujo de trabajo.
Desde la página de credenciales, seleccione una nueva credencial, desplácese cerca de debajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales CrowdStrike, ServiceNow y Slack en Expladed.tines.com si necesita ayuda.
4. Configure sus acciones.
- Establezca el canal Slack para las notificaciones de asesoramiento (slack_channel_vuln_advisory apelación).
- Establezca los detalles del boleto de su servicio en el ticket Crear en la argumento ServiceNow (por ejemplo, prioridad, agrupación de asignación).
- Ajuste las reglas de filtrado de proveedores si es necesario para que coincida con las prioridades de su estructura.
5. Pruebe el flujo de trabajo.
Activar una prueba sacando avisos recientes de CISA y verifique que:
- Se envían notificaciones flojas con formateo correcto
- Los recadero de aprobación funcionan como se esperaba
- Los boletos de ServiceNow se crean correctamente al aprobar
6. Editar y operacionalizar
Una vez probado, publique el flujo de trabajo. Comparta el canal Slack con su equipo para comenzar a revisar y aprobar los avisos de modo apto.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.
