Dirigido por el equipo en Workflow Orchestration y la plataforma AI Tines, la Biblioteca Tines presenta más de 1,000 flujos de trabajo preconstruidos compartidos por profesionales de seguridad de toda la comunidad, todos libres de importar e implementar a través de la edición comunitaria de la plataforma.
Un destacado reciente es un flujo de trabajo que maneja alertas de malware con crowdstrike, oomnitza, github y pagerduty. Desarrollado por Lucas Cantor en Intercom, los creadores de Fin.ai, el flujo de trabajo facilita la determinación de la gravedad de una alerta de seguridad y la intensifica sin problemas, dependiendo de la respuesta del propietario del dispositivo. «Es una excelente manera de reducir el ruido y agregar contexto a los problemas de seguridad que también se agregan en nuestros puntos finales», explica Lucas.
En esta guía, compartiremos una descripción general del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.
El problema: falta de integración entre las herramientas de seguridad
Para los equipos de seguridad, responder a las amenazas de malware, analizar su gravedad e identificar al propietario del dispositivo para que puedan ser contactados para resolver la amenaza, puede tomar mucho tiempo.
Desde una perspectiva de flujo de trabajo, los equipos a menudo tienen que:
- Responde manualmente a los eventos de crowdstrike
- Enriquecer la alerta con metadatos adicionales
- Documentar y alertar al propietario del dispositivo en Slack
- Notificar equipos de llamadas a través de PagerDuty
Pasar por este proceso manualmente puede provocar retrasos y aumentar las posibilidades de error humano.
La solución: creación automatizada de entradas, identificación del dispositivo y triaje de amenazas
El flujo de trabajo preconstruido de Lucas automatiza el proceso de tomar la alerta de malware y crear el estuche, mientras que notifica de manera crucial al propietario del dispositivo y al equipo de guardia. Este flujo de trabajo ayuda a los equipos de seguridad a identificar con precisión el nivel de amenaza más rápido por:
- Detección de nuevas alertas de CrowdStrike
- Identificar y notificar al propietario del dispositivo
- Problemas críticos en aumento
El resultado es una respuesta simplificada a alertas de seguridad de malware que aseguran que sean tratados rápidamente, sin importar la gravedad.
Beneficios clave de este flujo de trabajo:
- Tiempo de remediación reducido
- El propietario del dispositivo se mantiene informado
- Remediación clara y vías de escalada
- Sistema de gestión centralizado
Descripción general del flujo de trabajo
Herramientas utilizadas:
- Tines – Orquestación de flujo de trabajo y plataforma de IA (edición comunitaria gratuita disponible)
- CrowdStrike – Plataforma de inteligencia de amenazas y EDR
- Oomnitza – Plataforma de gestión de activos de TI
- GitHub – Plataforma de desarrollador
- PagerDuty – Plataforma de gestión de incidentes
- Slack – Plataforma de colaboración del equipo
Cómo funciona
Parte 1
- Obtenga una alerta de seguridad de CrowdStrike
- Encuentre el dispositivo que se activó la alerta y busque sus detalles
- Cree un boleto en GitHub para la alerta y plantee el problema en un mensaje flojo
- Si el dispositivo es propiedad de un usuario y es una prioridad baja,
- Envíe al propietario un mensaje solicitando escalada
- Si el dispositivo es propiedad de un usuario y es una alta prioridad,
- Cree un evento de PagerDuty para notificar al analista de guardia
- Informar al propietario del problema en curso
Parte 2
- Obtenga una interacción de usuario con el mensaje Slack
- Enriquecer el problema de GitHub con la respuesta de los usuarios
- Si el propietario intensifica el problema
- Cree un evento de PagerDuty para notificar al analista de guardia
Configuración del flujo de trabajo-guía paso a paso
1. Inicie sesión en Tines o cree una nueva cuenta.
2. Navegue hasta el flujo de trabajo preconstruido en la biblioteca. Seleccione importar. Esto debería llevarlo directamente a su nuevo flujo de trabajo preconstruido.
3. Configure sus credenciales
Necesitará cinco credenciales agregadas a su inquilino Tines:
- Crowdstrike
- Oomnitza
- Girub
- Tarta
- Flojo
Tenga en cuenta que también se pueden usar servicios similares a los mencionados anteriormente, con algunos ajustes al flujo de trabajo.
Desde la página de credenciales, seleccione una nueva credencial, desplácese hacia abajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales de CrowdStrike, Oomnitza, Github, Pagerduty y Slack en Expladed.tines.com si necesita ayuda.
4. Configure sus acciones.
- Establezca sus variables de entorno. Esto incluye tu:
- Slack It Channel Alerting Webhook (`slack_channel_webhook_urls_prod`)
- Mapeo de prioridad de crowdstrike/github (`crowdstrike_to_github_priority_map`)
- Configurar crowdstrike para alertar al nuevo webhook de detección de crowdstrike cuando se crea una detección
- Configure su URL de interactividad SlackBot en el botón Recibir Slack Push Webhook
5. Prueba el flujo de trabajo.
6. Publicar y operacionalizar
Una vez probado, publique el flujo de trabajo.
Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.