При обнаружении вредоносных программ в CrowdStrike традиционный процесс требует ручного вмешательства: обогащение данных, поиск владельца устройства через Oomnitza, оповещение через Slack и эскалацию через PagerDuty. Это отнимает часы, создает задержки и риски ошибок.
Lucas Cantor из Intercom (создатели ) разработал решение в библиотеке Tines: бесплатный workflow, интегрирующий CrowdStrike, Oomnitza, GitHub, PagerDuty и Slack. Его цель, по словам Лукаса: «Сократить шум и добавить контекст проблемам безопасности на конечных точках».
Рабочий процесс начинается с автоматического захвата алерта из CrowdStrike. Система идентифицирует устройство, извлекает метаданные владельца из Oomnitza и создает тикет в GitHub. Параллельно в Slack отправляется уведомление с кнопками действий.
Критично здесь ветвление:
Если пользователь нажимает кнопку в Slack (например, «Эскалировать»), система обновляет тикет в GitHub и автоматически запускает PagerDuty. Это сокращает время реакции с часов до минут.
Для настройки:
Тестируйте и публикуйте. Результат: централизованное управление, информированные пользователи и четкие пути эскалации без рутины.
Изображение носит иллюстративный характер
Lucas Cantor из Intercom (создатели ) разработал решение в библиотеке Tines: бесплатный workflow, интегрирующий CrowdStrike, Oomnitza, GitHub, PagerDuty и Slack. Его цель, по словам Лукаса: «Сократить шум и добавить контекст проблемам безопасности на конечных точках».
Рабочий процесс начинается с автоматического захвата алерта из CrowdStrike. Система идентифицирует устройство, извлекает метаданные владельца из Oomnitza и создает тикет в GitHub. Параллельно в Slack отправляется уведомление с кнопками действий.
Критично здесь ветвление:
- При низком приоритете владелец устройства получает запрос на эскалацию через Slack.
- При высоком — workflow мгновенно создает инцидент в PagerDuty для аналитика и уведомляет владельца.
Если пользователь нажимает кнопку в Slack (например, «Эскалировать»), система обновляет тикет в GitHub и автоматически запускает PagerDuty. Это сокращает время реакции с часов до минут.
Для настройки:
- Импортируйте workflow из библиотеки Tines (Community Edition бесплатен).
- Добавьте учетные данные для всех пяти сервисов: CrowdStrike, Oomnitza, GitHub, PagerDuty, Slack.
- Настройте переменные:
slack_channel_webhook_urls_prod(вебхук Slack) иcrowdstrike_to_github_priority_map(сопоставление приоритетов).
- Направьте алерты CrowdStrike на вебхук «New CrowdStrike Detection», а интерактивные действия Slack — на «Receive Slack Button Push».
Тестируйте и публикуйте. Результат: централизованное управление, информированные пользователи и четкие пути эскалации без рутины.
