Takım tarafından iş akışı düzenlemesi ve AI platformu tinesinde yürütülen Tines Kütüphanesi, topluluk genelinde güvenlik uygulayıcıları tarafından paylaşılan önceden oluşturulmuş iş akışlarına sahiptir – hepsi platformun topluluk baskısı aracılığıyla içe aktarmak ve dağıtmak için ücretsizdir.
Son zamanlarda göze çarpan bir gözlemci, CISA ve diğer satıcılardan güvenlik danışmanlarını izlemeyi otomatikleştiren, tavsiyeleri Crowdstrike tehdidi istihbaratıyla zenginleştiren ve bilet oluşturma ve bildirimi kolaylaştıran bir iş akışıdır. LivePerson’da bir güvenlik mühendisi olan Josh McLaughlin tarafından geliştirilen iş akışı, analistleri nihai kararların kontrolünde tutarak ekiplerin yeni güvenlik açıklarının üstünde kalmasına yardımcı olurken, manuel çalışmayı büyük ölçüde azaltır.
Josh, “Otomasyondan önce, 45 güvenlik açığı için bilet oluşturmak yaklaşık 150 dakikalık iş aldı.” “Otomasyondan sonra, aynı sayıda bilet için gereken süre yaklaşık 60 dakikaya düştü, önemli zaman kazandırdı ve analistleri kopyalama ve web taraması gibi manuel görevlerden serbest bıraktı.” LivePerson’un güvenlik ekibi, otomasyon ve düzenleme yoluyla bu sürecin% 60 aldığı süreyi azalttı ve hem verimlilik hem de analist moralinde büyük bir destek yarattı.
Bu kılavuzda, iş akışına genel bir bakış ve çalışmaya başlamak için adım adım talimatları paylaşacağız.
Sorun – Kritik Tavsiyelerin Manuel İzlenmesi
Güvenlik ekipleri için, yeni açıklanan güvenlik açıklarının zamanında farkındalığı esastır-ancak birden fazla kaynağı izlemek, tehdit istihbaratıyla zenginleştirme ve iyileştirme için bilet oluşturmak zaman alıcı ve hataya eğilimli görevlerdir.
Takımlar genellikle:
- CISA ve diğer kaynakları danışmanlık için manuel olarak kontrol edin
- Araştırma ile ilgili CVES
- Eylemin gerekli olup olmadığına karar verin
- Manuel olarak bilet oluşturun ve paydaşları bilgilendirin
Bu tekrarlayan adımlar sadece değerli analist zamanı tüketmekle kalmaz, aynı zamanda önemli bir güvenlik açığı kaçırılırsa veya geciktirilirse tutarsız yanıtları da riske atar.
Çözüm – Otomatik İzleme, Zenginleştirme ve Biletleme
Josh’un önceden inşa edilmiş iş akışı işlemi uçtan uca otomatikleştirir-ancak çok önemli olarak, analistleri kilit karar noktalarında kontrol altında tutar:
- CISA’dan (veya seçilmiş bir açık kaynak yeminden) yeni tavsiyeler çeker
- Crowdstrike’ın tehdit istihbaratını kullanarak bulguları zenginleştirir
- Güvenlik ekibini Slack’teki bilgilendirir ve düğmeleri onaylama ve reddetme yoluyla hızlı bir şekilde girdi sağlamalarını ister
- Onay üzerine, güvenlik açığının ayrıntılarıyla otomatik olarak bir servis bileti oluşturur
Sonuç, güvenlik açıklarının, yalnızca analistlerin sağlayabileceği eleştirel düşünme ve önceliklendirmeyi feda etmeden hızlı bir şekilde izlenmesini ve harekete geçirilmesini sağlayan aerodinamik, verimli bir süreçtir.
Bu iş akışının temel avantajları:
- Manuel çabayı azaltır ve yanıt süresini hızlandırır
- Daha akıllı önceliklendirme için tehdit istihbaratından yararlanır
- Yeni güvenlik açıklarının tutarlı bir şekilde ele alınmasını sağlar
- Güvenlik ve BT ekipleri arasındaki işbirliğini güçlendirir
- Sıkıcı görevleri ortadan kaldırarak morali artırır
- Analistleri kolay, hızlı onaylarla kontrol altında tutar
İş Akışına Genel Bakış
Kullanılan Araçlar:
- Tines – İş Akışı Orkestrasyonu ve AI Platformu (Topluluk Sürümü Mevcut)
- Crowdstrike – Tehdit İstihbaratı ve EDR Platformu
- ServiceNow – Biletleme ve ITSM Platformu
- Slack – Takım İşbirliği Platformu
Nasıl çalışır:
- RSS Besleme Koleksiyonu: CISA’nın RSS Feed’inden en son tavsiyeleri getiriyor
- Tekilleştirme: yinelenen tavsiyeleri filtreler
- Satıcı Filtreleme: Anahtar satıcıların ve hizmetlerden (örneğin, Microsoft, Citrix, Google, Atlassian) danışmanlara odaklanır.
- CVE Ekstraksiyonu: CVES’i danışmanlık açıklamalarından tanımlar
- Zenginleştirme: Crowdtrike Tehdit Zekası ile Cross-References Cves, ek bağlam için
- Slack Bildirimi: Özel bir Slack kanalına eylem düğmeleri ile zenginleştirilmiş bir güvenlik açığı gönderir
- Onay akışı:
- Onaylanırsa, iş akışı bir hizmet bileti oluşturur
- Reddedilirse, iş akışı kararı bilet oluşturmadan günlüğe kaydeder
İş Akışını Yapılandırma-Adım Adım Kılavuzu
 |
| The Tines Community Edition Kayıt Formu |
1. Tines’e giriş yapın veya yeni bir hesap oluşturun.
2. Kütüphanede önceden oluşturulmuş iş akışı. İçe Aktar’ı seçin. Bu sizi doğrudan önceden oluşturulmuş yeni iş akışınıza götürmelidir.
 |
| Tines’in sürükle ve bırak tuvalindeki iş akışı |
 |
| Tines’e yeni bir kimlik bilgisi eklemek |
3. Kimlik bilgilerinizi ayarlayın
Tines kiracınıza eklenen üç kimlik bilgisine ihtiyacınız olacak:
- Crowdstrike
- ServiceNow
- Gevşeklik
Yukarıda listelenenlere benzer hizmetler, iş akışında bazı ayarlamalarla da kullanılabileceğini unutmayın.
Kimlik Bilgileri sayfasından yeni kimlik bilgisi seçin, ilgili kimlik bilgilerine geçin ve gerekli alanları tamamlayın. Yardıma ihtiyacınız varsa CrowdStrike, ServiceNow ve Slack kimlik bilgilerini açıkladı.tines.com adresinden takip edin.
4. Eylemlerinizi yapılandırın.
- Danışmanlık bildirimleri için Slack kanalını ayarlayın (Slack_channel_vuln_advisory kaynağı).
- ServiceNow bilet bilgilerinizi ServiceNow eyleminde (örn. Öncelik, atama grubu) oluşturun.
- Kuruluşunuzun önceliklerini eşleştirmek için gerekirse satıcı filtreleme kurallarını ayarlayın.
5. İş akışını test edin.
CISA’dan son tavsiyeleri çekerek bir testi tetikleyin ve şunları doğrulayın:
- Slack bildirimleri doğru biçimlendirme ile gönderilir
- Onay düğmeleri beklendiği gibi çalışıyor
- ServiceNow biletleri onay üzerine doğru bir şekilde oluşturulur
6. Yayınlayın ve operasyonel hale getirin
Test edildikten sonra iş akışını yayınlayın. Danışmanları verimli bir şekilde incelemeye ve onaylamaya başlamak için Slack kanalını ekibinizle paylaşın.
Bu iş akışını test etmek isterseniz, ücretsiz bir Tines hesabına kaydolabilirsiniz.