Takım tarafından iş akışı düzenlemesi ve AI platformu tinesinde yürütülen Tines Kütüphanesi, güvenlik uygulayıcıları tarafından topluluk genelinde paylaşılan 1000’den fazla önceden oluşturulmuş iş akışına sahiptir – hepsi platformun topluluk baskısı aracılığıyla içe aktarmak ve dağıtmak için ücretsizdir.
Uygun Standart İşletim Prosedürlerini (SOPS) Confluence’dan otomatik olarak tanımlayarak ve yürüterek akış çizgileri güvenlik uyarısı işlemini vurguladığımız iş akışı. Bir uyarı tetiklendiğinde, AI ajanları onu analiz eder, ilgili SOP’ları bulur ve gerekli iyileştirme adımlarını gerçekleştirir – hepsi çağrı üzerindeki ekibi Slack aracılığıyla bilgilendirirken.
Tines Güvenlik Araştırmacı L2 Michael Tolan ve Tines Kıdemli Çözüm Mühendisi Peter Wrenn tarafından yaratıldı.
Bu kılavuzda, iş akışına genel bir bakış ve çalışmaya başlamak için adım adım talimatları paylaşacağız.
Sorun – Manuel Uyarı Triyajı ve SOP Yürütme
Güvenlik ekipleri için, uyarılara verimli bir şekilde yanıt vermek, tehdit türünün hızlı bir şekilde tanımlanmasını, uygun SOP’nun bulunmasını ve gerekli iyileştirme adımlarının yürütülmesini gerektirir.
İş akışı perspektifinden bakıldığında, ekipler genellikle:
- Gelen güvenlik uyarılarını manuel olarak analiz edin
- İlgili SOPS için Confluence aracılığıyla arama yapın
- Vaka Yönetim Sistemlerinde Bulgular ve Eylemler
- Farklı güvenlik araçlarında birden çok iyileştirme adımı yürütün
- Vaka yönetim sistemini gerçeğe göre tekrar güncelleyin
- Paydaşlara olaylar ve eylemler hakkında bilgilendirin
Bu manuel işlem zaman alıcıdır, insan hatasına eğilimlidir ve benzer uyarıların tutarsız bir şekilde ele alınmasına yol açabilir.
Çözüm – Otomatik SOP Yürütme ile AI ile çalışan uyarı triyajı
Bu önceden yapılandırılmış iş akışı, AI ajanlarını ve Confluence SOP’lardan yararlanarak tüm uyarı triyaj sürecini otomatikleştirir. İş akışı, güvenlik ekiplerinin daha hızlı ve daha tutarlı bir şekilde yanıt vermesine yardımcı olur:
- Gelen uyarıları analiz etmek ve sınıflandırmak için AI kullanma
- İlgili SOP’ları Confluence’de otomatik olarak bulma
- İzleme için yapılandırılmış vaka kayıtları oluşturma
- İyileştirme adımlarını yürütmek için ikinci bir AI ajanının (subagent) dağıtılması
- Tüm eylemleri belgelemek ve çağrı içi ekibi Slack yoluyla bilgilendirmek
Sonuç, yerleşik prosedürlere göre tutarlı kullanım sağlayan güvenlik uyarılarına kolaylaştırılmış bir yanıttır.
Bu iş akışının temel avantajları
- Azaltılmış ortalama iyileştirme süresi (MTTR)
- Güvenlik prosedürlerinin tutarlı uygulaması
- Alınan tüm eylemlerin kapsamlı belgeleri
- Tekrarlayan görevlerden azaltılmış analist yorgunluğu
- Otomatik Bildirimler aracılığıyla gelişmiş görünürlük
İş Akışına Genel Bakış
Kullanılan Araçlar:
- Tines – İş Akışı Orkestrasyonu ve AI Platformu (Ücretsiz Topluluk Sürümü Mevcut)
- Confluence – SOPS için Bilgi Yönetim Platformu
Bu özel iş akışı da kullanma Aşağıdaki yazılım parçaları. Ancak, zenginleştirmeyi kullanabilirsiniz/iyileştirme Şu anda araçlar içinde var olan Teknolojiniz tines ve izdihamın yanında yığın.
- Crowdstrike – Tehdit İstihbaratı ve EDR Platformu
- Ibuseipdb – IP itibar veritabanı
- Emailrep – E -posta İtibar Hizmeti
- Okta – Kimlik ve Erişim Yönetimi
- Slack – Takım İşbirliği Platformu
- Tavily – AI Araştırma Aracı
- Urlscan.io – URL analiz hizmeti
- Virustotal – Dosya ve URL Tarama Hizmeti
Nasıl Çalışır
Bölüm 1: Uyarı Alma ve Analiz
- Entegre Güvenlik Araçlarından Güvenlik Uyarısı Alın
- AI ajanı, tür ve şiddet belirlemek için uyarıyı analiz eder
- Sistem, uyarı sınıflandırmasına dayalı olarak ilgili SOP’lar için birleşme arar
- Uyarı detayları ve tanımlanmış SOP ile bir vaka kaydı oluşturun
Bölüm 2: İyileştirme ve Belgeler
- İkinci AI Ajanı davayı ve SOP talimatlarını gözden geçirir
- AI Ajanı, uygun güvenlik araçlarında iyileştirme eylemlerini düzenler
- Tüm eylemler vaka geçmişinde belgelenmiştir
- Uyarı detayları ve işlemleri ile çağrı içi ekibe Slack bildirimi gönderilir
İş Akışını Yapılandırma-Adım Adım Kılavuzu
1. Tines’e giriş yapın veya yeni bir hesap oluşturun.
2. Kütüphanedeki önceden oluşturulmuş iş akışına gidin. İçe Aktar’ı seçin.
3. Kimlik bilgilerinizi ayarlayın
Bu iş akışında kullanılan tüm araçlar için kimlik bilgilerine ihtiyacınız olacak. Çevrenize uymak istediğiniz araçları ekleyebilir veya kaldırabilirsiniz.
- Uyuşukluk
- Crowdstrike
- Kötüye kullanma
- E -posta
- Okta
- Gevşeklik
- Eritme
- Urlscan.io
- Virustal
Kimlik Bilgileri sayfasından yeni kimlik bilgisi seçin, ilgili kimlik bilgilerine geçin ve gerekli alanları tamamlayın. Yardıma ihtiyacınız varsa açıklanan.tines.com adresindeki kimlik bilgilerini izleyin.
4. Eylemlerinizi yapılandırın.
Çevre değişkenlerinizi ayarlayın. Bu özel iş akışında, özellikle bildirimler için gevşek kanalın ayarlanmasını gerektirir (varsayılan olarak #Alerts’e sabitlenmiş, ancak Slack eyleminde ayarlanabilir).
5. AI istemlerini özelleştirin
İş akışı iki önemli AI aracısı içerir:
- Uyarı Analiz Aracısı: Uyarı türlerini tanımlamaya yardımcı olmak için istemi özelleştirin
- İyileştirme Ajanı: İyileştirme eylemlerine rehberlik etmek için istemi özelleştirin
6. İş akışını test edin.
Doğrulamak için bir test uyarısı oluşturun:
- Uyarı düzgün bir şekilde sınıflandırılır
- Doğru SOP izdihamdan alındı
- Kasa uygun ayrıntılarla oluşturulur
- İyileştirme adımları yürütülür
- Slack bildirimi gönderildi
7. Yayınlayın ve Operasyonel
Test edildikten sonra, canlı uyarılar almaya başlamak için iş akışını yayınlayın ve güvenlik araçlarınızla entegre edin.
Bu iş akışını test etmek isterseniz, ücretsiz bir Tines hesabına kaydolabilirsiniz.