Takım tarafından iş akışı düzenlemesi ve AI platformu tinesinde yürütülen Tines Kütüphanesi, güvenlik uygulayıcıları tarafından topluluk genelinde paylaşılan 1000’den fazla önceden oluşturulmuş iş akışına sahiptir – hepsi platformun topluluk baskısı aracılığıyla içe aktarmak ve dağıtmak için ücretsizdir.
Son zamanlarda göze çarpan bir gözleme, Crowdstrike, Oomnitza, GitHub ve Pagerduty ile kötü amaçlı yazılım uyarılarını işleyen bir iş akışıdır. Fin.ai’nin yaratıcıları Intorcom’da Lucas Cantor tarafından geliştirilen iş akışı, bir güvenlik uyarısının şiddetini belirlemeyi ve cihaz sahibinin yanıtına bağlı olarak sorunsuz bir şekilde yükseltmeyi kolaylaştırır. Lucas, “Gürültüyü azaltmanın ve uç noktalarımıza eklenen güvenlik sorunlarına bağlam eklemenin harika bir yolu” diye açıklıyor.
Bu kılavuzda, iş akışına genel bir bakış ve çalışmaya başlamak için adım adım talimatları paylaşacağız.
Sorun – Güvenlik araçları arasında entegrasyon eksikliği
Güvenlik ekipleri için, kötü amaçlı yazılım tehditlerine yanıt vermek, ciddiyetlerini analiz etmek ve tehdidi çözmek için iletişim kurulabilmeleri için cihaz sahibini tanımlamak çok zaman alabilir.
İş akışı perspektifinden bakıldığında, ekipler genellikle:
- Crowdstrike etkinliklerine manuel olarak yanıt verin
- Uyarıyı ek meta verilerle zenginleştirin
- Cihaz sahibini Slack’te belgeleyin ve uyarın
- Pagerduty aracılığıyla arama ekiplerine bildirin
Bu süreci manuel olarak yaşamak gecikmelere neden olabilir ve insan hatası şansını artırabilir.
Çözüm – Otomatik bilet oluşturma, cihaz tanımlaması ve tehdit triyajı
Lucas’ın önceden oluşturulmuş iş akışı, cihaz sahibini ve çağrı üst ekibini önemli ölçüde bildirirken, kötü amaçlı yazılım uyarısını alma ve davayı oluşturma sürecini otomatikleştirir. Bu iş akışı, güvenlik ekiplerinin tehdit düzeyini daha hızlı tanımlamasına yardımcı olur:
- Crowdstrike’dan yeni uyarıları tespit etmek
- Cihaz sahibini tanımlamak ve bildirmek
- Artan Kritik Sorunlar
Sonuç, ciddiyet ne olursa olsun, hızlı bir şekilde ele alınmasını sağlayan kötü amaçlı yazılım güvenlik uyarılarına kolaylaştırılmış yanıttır.
Bu iş akışının temel avantajları:
- Azaltılmış iyileştirme süresi
- Cihaz sahibi bilgilendirildi
- Açık iyileştirme ve yükseltme yolları
- Merkezi yönetim sistemi
İş Akışına Genel Bakış
Kullanılan Araçlar:
- Tines – İş Akışı Orkestrasyonu ve AI Platformu (Ücretsiz Topluluk Sürümü Mevcut)
- Crowdstrike – Tehdit İstihbaratı ve EDR Platformu
- Oomnitza – BT varlık yönetimi platformu
- GitHub – Geliştirici Platformu
- Pagerduty – Olay Yönetim Platformu
- Slack – Takım İşbirliği Platformu
Nasıl Çalışır
Bölüm 1
- CrowdStrike’tan Güvenlik Uyarısı Alın
- Uyarının tetiklendiği cihazı bulun ve ayrıntılarını arayın
- Uyarı için GitHub’da bir bilet oluşturun ve sorunu gevşek bir mesajla gündeme getirin
- Cihaz bir kullanıcıya aitse ve düşük bir öncelikse,
- Sahibine yükselme isteyen bir mesaj gönderin
- Cihaz bir kullanıcıya aitse ve yüksek bir öncelikse,
- Çağrı üzerine analisti bilgilendirmek için bir Pagerduty etkinliği oluşturun
- Devam eden sorunun sahibini bilgilendirmek
Bölüm 2
- Slack mesajı ile bir kullanıcı etkileşimi alın
- Github sorununu kullanıcıların yanıtı ile zenginleştirin
- Sahibi sorunu artırırsa
- Çağrı üzerine analisti bilgilendirmek için bir Pagerduty etkinliği oluşturun
İş Akışını Yapılandırma-Adım Adım Kılavuzu
1. Tines’e giriş yapın veya yeni bir hesap oluşturun.
2. Kütüphanede önceden oluşturulmuş iş akışına gidin. İçe Aktar’ı seçin. Bu sizi doğrudan önceden oluşturulmuş yeni iş akışınıza götürmelidir.
3. Kimlik bilgilerinizi ayarlayın
Tines kiracınıza eklenen beş kimlik bilgisine ihtiyacınız olacak:
- Crowdstrike
- Oomnitza
- Zımpara
- Pagerduty
- Gevşeklik
Yukarıda listelenenlere benzer hizmetler, iş akışında bazı ayarlamalarla da kullanılabileceğini unutmayın.
Kimlik Bilgileri sayfasından yeni kimlik bilgisi seçin, ilgili kimlik bilgilerine geçin ve gerekli alanları tamamlayın. Crowdstrike, Oomnitza, GitHub, Pagerduty ve Slack Kimlik Bilgileri Kılavuzlarını açıkladı.
4. Eylemlerinizi yapılandırın.
- Çevre değişkenlerinizi ayarlayın. Bu sizin:
- Slack It kanalı WebHook (`slack_channel_webhook_urls_prod`)
- CrowdStrike/Github Öncelik Öncelik Eşleme (`crowdstrike_to_github_priority_map`)
- Bir algılama oluşturulduğunda yeni Crowdstrike algılama webhook’u uyarmak için crowdstrike’u yapılandırın
- SlackBot Etkileşim URL’nizi Geri Slack Düğmesine Alın WebHook’a Yapılandırın
5. İş akışını test edin.
6. Yayınlayın ve operasyonel hale getirin
Test edildikten sonra iş akışını yayınlayın.
Bu iş akışını test etmek isterseniz, ücretsiz bir Tines hesabına kaydolabilirsiniz.