Автоматизация безопасности: как один workflow сокращает шум угроз?

При обнаружении вредоносных программ в CrowdStrike традиционный процесс требует ручного вмешательства: обогащение данных, поиск владельца устройства через Oomnitza, оповещение через Slack и эскалацию через PagerDuty. Это отнимает часы, создает задержки и риски ошибок.

Lucas Cantor из Intercom (создатели ) разработал решение в библиотеке Tines: бесплатный workflow, интегрирующий CrowdStrike, Oomnitza, GitHub, PagerDuty и Slack. Его цель, по словам Лукаса: «Сократить шум и добавить контекст проблемам безопасности на конечных точках».

Рабочий процесс начинается с автоматического захвата алерта из CrowdStrike. Система идентифицирует устройство, извлекает метаданные владельца из Oomnitza и создает тикет в GitHub. Параллельно в Slack отправляется уведомление с кнопками действий.

Критично здесь ветвление:

• При низком приоритете владелец устройства получает запрос на эскалацию через Slack.
• При высоком — workflow мгновенно создает инцидент в PagerDuty для аналитика и уведомляет владельца.

Если пользователь нажимает кнопку в Slack (например, «Эскалировать»), система обновляет тикет в GitHub и автоматически запускает PagerDuty. Это сокращает время реакции с часов до минут.

Для настройки:

• Импортируйте workflow из библиотеки Tines (Community Edition бесплатен).

• Добавьте учетные данные для всех пяти сервисов: CrowdStrike, Oomnitza, GitHub, PagerDuty, Slack.

• Настройте переменные: slack_channel_webhook_urls_prod (вебхук Slack) и crowdstrike_to_github_priority_map (сопоставление приоритетов).

• Направьте алерты CrowdStrike на вебхук «New CrowdStrike Detection», а интерактивные действия Slack — на «Receive Slack Button Push».

Тестируйте и публикуйте. Результат: централизованное управление, информированные пользователи и четкие пути эскалации без рутины.

Источник: The Hacker News