Dirigido por el equipo en Workflow Orchestration y la plataforma AI Tines, la Biblioteca Tines presenta más de 1,000 flujos de trabajo preconstruidos compartidos por profesionales de seguridad de toda la comunidad, todos libres de importar e implementar a través de la edición comunitaria de la plataforma.
El flujo de trabajo estamos destacando el manejo de alerta de seguridad de las líneas de funcionamiento identificando y ejecutando automáticamente los procedimientos operativos estándar (SOP) apropiados desde Confluence. Cuando se desencadena una alerta, los agentes de IA lo analizan, localizan los SOP relevantes y realizan los pasos de remediación requeridos, todo mientras mantiene informado al equipo de guardia a través de Slack.
Fue creado por Michael Tolan, investigador de seguridad L2 en Tines, y Peter Wrenn, ingeniero senior de soluciones en Tines.
En esta guía, compartiremos una descripción general del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.
El problema – triage de alerta manual y ejecución de SOP
Para los equipos de seguridad, responder a las alertas de manera eficiente requiere identificar rápidamente el tipo de amenaza, localizar el SOP apropiado y ejecutar los pasos de remediación requeridos.
Desde una perspectiva de flujo de trabajo, los equipos a menudo tienen que:
- Analizar manualmente alertas de seguridad entrantes
- Buscar a través de la confluencia para los SOP relevantes
- Hallazgos y acciones de documentos en los sistemas de gestión de casos
- Ejecutar múltiples pasos de remediación en diferentes herramientas de seguridad
- Actualizar el sistema de administración de casos nuevamente después del hecho
- Notifique a las partes interesadas sobre incidentes y acciones tomadas
Este proceso manual requiere mucho tiempo, es propenso al error humano y puede conducir a un manejo inconsistente de alertas similares.
La solución: triaje de alerta con IA con ejecución automatizada de SOP
Este flujo de trabajo preconstruido automatiza todo el proceso de triaje de alerta al aprovechar los agentes de IA y los SOP de confluencia. El flujo de trabajo ayuda a los equipos de seguridad a responder de manera más rápida y consistente por:
- Uso de IA para analizar y clasificar las alertas entrantes
- Localización automática de SOP relevantes en Confluence
- Creación de registros de casos estructurados para el seguimiento
- Despliegue de un segundo agente de IA (subagente) para ejecutar pasos de remediación
- Documentar todas las acciones y notificar al equipo de guardia a través de Slack
El resultado es una respuesta simplificada a alertas de seguridad que garantiza un manejo constante de acuerdo con los procedimientos establecidos.
Beneficios clave de este flujo de trabajo
- Tiempo medio reducido a la remediación (MTTR)
- Aplicación constante de los procedimientos de seguridad
- Documentación integral de todas las acciones tomadas
- Reducción de la fatiga del analista de tareas repetitivas
- Mejor visibilidad a través de notificaciones automatizadas
Descripción general del flujo de trabajo
Herramientas utilizadas:
- Tines – Orquestación de flujo de trabajo y plataforma de IA (edición comunitaria gratuita disponible)
- Confluence – Plataforma de gestión del conocimiento para SOPS
Este flujo de trabajo específico también usos las siguientes piezas de software. Sin embargo, puede usar cualquier enriquecimiento/remediación herramientas actualmente existente dentro Su pila de tecnología junto con Tines y Confluence.
- CrowdStrike – Plataforma de inteligencia de amenazas y EDR
- AbuseIPDB – Base de datos de reputación de IP
- Servicio de correos electrónicos – Servicio de reputación de correo electrónico
- OKTA – Gestión de identidad y acceso
- Slack – Plataforma de colaboración del equipo
- Tavily – herramienta de investigación de IA
- URLScan.io – Servicio de análisis de URL
- Virustotal – Servicio de escaneo de archivos y URL
Cómo funciona
Parte 1: Ingestión y análisis de alerta
- Recibir alerta de seguridad de herramientas de seguridad integradas
- El agente de IA analiza la alerta para determinar el tipo y la gravedad
- Búsqueda del sistema Confluencia para los SOP relevantes basados en la clasificación de alerta
- Cree un registro de casos con detalles de alerta y SOP identificado
Parte 2: remediación y documentación
- El segundo agente de IA revisa el caso y las instrucciones SOP
- El agente de IA orquesta las acciones de remediación en las herramientas de seguridad apropiadas
- Todas las acciones están documentadas en el historial de casos
- La notificación de Slack se envía al equipo de guardia con detalles y acciones de alerta tomadas
Configuración del flujo de trabajo-guía paso a paso
1. Inicie sesión en Tines o cree una nueva cuenta.
2. Navegue al flujo de trabajo preconstruido en la biblioteca. Seleccione importar.
3. Configure sus credenciales
Necesitará credenciales para todas las herramientas utilizadas en este flujo de trabajo. Puede agregar o eliminar las herramientas que desee para adaptarse a su entorno.
- Confluencia
- Crowdstrike
- Abusoipdb
- Correos electrónicos
- Okta
- Flojo
- Fusión
- Urlscan.io
- Virusta
Desde la página de credenciales, seleccione una nueva credencial, desplácese hacia abajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales en Expladed.tines.com si necesita ayuda.
4. Configure sus acciones.
Establezca sus variables de entorno. En este flujo de trabajo en particular, eso requiere específicamente establecer el canal Slack para notificaciones (codificado a #alerts de forma predeterminada, pero se puede ajustar en la acción de Slack).
5. Personalice las indicaciones de IA
El flujo de trabajo incluye dos agentes clave de IA:
- Agente de análisis de alerta: personalice el mensaje para ayudar a identificar tipos de alerta
- Agente de remediación: Personalice el indicador para guiar las acciones de remediación
6. Pruebe el flujo de trabajo.
Cree una alerta de prueba para verificar:
- Alerta se clasifica correctamente
- SOP correcto se recupera de Confluence
- El caso se crea con los detalles apropiados
- Se ejecutan los pasos de remediación
- Se envía una notificación floja
7. Publicar y operacionalizar
Una vez probado, publique el flujo de trabajo e integre con sus herramientas de seguridad para comenzar a recibir alertas en vivo.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.