Инженер по безопасности компании LivePerson Джош Маклафлин разработал эффективное решение для автоматизации мониторинга уведомлений о безопасности. Созданный им рабочий процесс доступен в библиотеке Tines и может быть развернут через бесплатную версию Tines Community Edition. Внедрение этого решения позволило LivePerson сократить время обработки уязвимостей на 60% — с 150 до 60 минут для анализа 45 уязвимостей.
Команды безопасности ежедневно сталкиваются с необходимостью отслеживать критические уведомления из множества источников. Традиционный подход включает ручную проверку источников, исследование CVE, принятие решений и создание тикетов. Эти процессы не только отнимают много времени, но и подвержены ошибкам, а также могут привести к непоследовательности в реагировании на угрозы.
Решение Маклафлина представляет собой полностью автоматизированный рабочий процесс, сохраняющий контроль аналитика на ключевых этапах принятия решений. Система автоматически собирает уведомления о безопасности, обогащает их данными разведки угроз, уведомляет команду и создает тикеты после получения одобрения.
Основные преимущества этого подхода включают значительное сокращение ручных усилий и времени реагирования, использование данных разведки угроз для лучшей приоритизации, обеспечение последовательной обработки уязвимостей и укрепление сотрудничества между командами. Кроме того, автоматизация устраняет утомительные задачи, повышая моральный дух аналитиков, при этом сохраняя их контроль через процессы утверждения.
Для реализации решения используются несколько ключевых инструментов: Tines для оркестрации рабочих процессов и ИИ, CrowdStrike для получения данных разведки угроз и EDR, ServiceNow для управления тикетами и ITSM, а также Slack для командного взаимодействия.
Рабочий процесс включает сбор RSS-потоков от CISA, дедупликацию уведомлений, фильтрацию по вендорам (Microsoft, Citrix, Google, Atlassian и другие), извлечение информации о CVE из описаний, обогащение данными разведки угроз CrowdStrike, отправку уведомлений в Slack с кнопками действий и процесс утверждения для создания тикетов.
Внедрение этого решения происходит в несколько шагов. Сначала необходимо войти в Tines или создать учетную запись, затем импортировать готовый рабочий процесс из библиотеки Tines. После этого следует настроить учетные данные для CrowdStrike, ServiceNow и Slack, сконфигурировать канал Slack, детали тикетов ServiceNow и фильтрацию вендоров. Наконец, необходимо протестировать функциональность рабочего процесса, а затем опубликовать и ввести его в эксплуатацию.
Использование этого автоматизированного подхода позволяет организациям значительно повысить эффективность обработки уязвимостей, обеспечивая при этом последовательность в реагировании на угрозы и сохраняя контроль специалистов по безопасности над ключевыми решениями.
Изображение носит иллюстративный характер
Команды безопасности ежедневно сталкиваются с необходимостью отслеживать критические уведомления из множества источников. Традиционный подход включает ручную проверку источников, исследование CVE, принятие решений и создание тикетов. Эти процессы не только отнимают много времени, но и подвержены ошибкам, а также могут привести к непоследовательности в реагировании на угрозы.
Решение Маклафлина представляет собой полностью автоматизированный рабочий процесс, сохраняющий контроль аналитика на ключевых этапах принятия решений. Система автоматически собирает уведомления о безопасности, обогащает их данными разведки угроз, уведомляет команду и создает тикеты после получения одобрения.
Основные преимущества этого подхода включают значительное сокращение ручных усилий и времени реагирования, использование данных разведки угроз для лучшей приоритизации, обеспечение последовательной обработки уязвимостей и укрепление сотрудничества между командами. Кроме того, автоматизация устраняет утомительные задачи, повышая моральный дух аналитиков, при этом сохраняя их контроль через процессы утверждения.
Для реализации решения используются несколько ключевых инструментов: Tines для оркестрации рабочих процессов и ИИ, CrowdStrike для получения данных разведки угроз и EDR, ServiceNow для управления тикетами и ITSM, а также Slack для командного взаимодействия.
Рабочий процесс включает сбор RSS-потоков от CISA, дедупликацию уведомлений, фильтрацию по вендорам (Microsoft, Citrix, Google, Atlassian и другие), извлечение информации о CVE из описаний, обогащение данными разведки угроз CrowdStrike, отправку уведомлений в Slack с кнопками действий и процесс утверждения для создания тикетов.
Внедрение этого решения происходит в несколько шагов. Сначала необходимо войти в Tines или создать учетную запись, затем импортировать готовый рабочий процесс из библиотеки Tines. После этого следует настроить учетные данные для CrowdStrike, ServiceNow и Slack, сконфигурировать канал Slack, детали тикетов ServiceNow и фильтрацию вендоров. Наконец, необходимо протестировать функциональность рабочего процесса, а затем опубликовать и ввести его в эксплуатацию.
Использование этого автоматизированного подхода позволяет организациям значительно повысить эффективность обработки уязвимостей, обеспечивая при этом последовательность в реагировании на угрозы и сохраняя контроль специалистов по безопасности над ключевыми решениями.