Verbessern Sie SIEM-Warnungen durch Automatisierung

Security/IT

Erweitert SIEM-Benachrichtigungen mithilfe von MITRE ATT&CK-Informationen und stellt eine Verbindung mit Zendesk her.

Wie es funktioniert

Der Workflow mit dem Titel „Enhance SIEM Alerts through Automation“ ist darauf ausgelegt, Security Information and Event Management (SIEM)-Warnungen mit Kontextinformationen aus dem MITRE ATT&CK-Framework anzureichern und anschließend Tickets in Zendesk für weitere Untersuchungen zu erstellen. Der Workflow läuft in einer Reihe aufeinanderfolgender Schritte ab und nutzt verschiedene Knoten, die den Datenabruf, die Verarbeitung und die Integration erleichtern.

1. Triggerknoten:

Der Workflow beginnt mit einem Triggerknoten, der aktiviert wird, wenn eine neue SIEM-Warnung generiert wird. Dieser Knoten erfasst die Warnungsdetails, einschließlich relevanter Metadaten wie Warnungstyp, Schweregrad und Zeitstempel.

2. HTTP-Anforderungsknoten:

Nach dem Auslöser wird ein HTTP-Anforderungsknoten verwendet, um die MITRE ATT&CK API abzufragen. Dieser Knoten sendet eine Anfrage zum Abrufen von Taktiken und Techniken, die mit dem im vorherigen Schritt identifizierten spezifischen Alarmtyp verknüpft sind. Die Antwort der API liefert wertvollen Kontext, der die Warnung verbessert.

3. Funktionsknoten:

Die von der MITRE ATT&CK API empfangenen Daten werden dann von einem Funktionsknoten verarbeitet. Dieser Knoten ist für die Formatierung der Antwort und das Extrahieren wichtiger Informationen verantwortlich, z. B. der relevanten Taktiken und Techniken, die in das Zendesk-Ticket aufgenommen werden.

4. Zendesk-Knoten:

Nach der Verarbeitung der Daten wird ein Zendesk-Knoten verwendet, um ein neues Ticket zu erstellen. Die angereicherten Informationen aus der SIEM-Warnung sind zusammen mit den Kontextdaten aus dem MITRE ATT&CK-Framework in der Ticketbeschreibung enthalten. Dadurch wird sichergestellt, dass das Support-Team über alle notwendigen Informationen für eine effektive Reaktion auf Vorfälle verfügt.

5. Endknoten:

Schließlich endet der Workflow mit einem Endknoten, der den Abschluss des Prozesses signalisiert. Dieser Knoten stellt sicher, dass alle Vorgänge erfolgreich ausgeführt wurden und der Workflow für nachfolgende Alarme erneut ausgelöst werden kann.

Hauptmerkmale

- Automatisierte Anreicherung:

Der Workflow reichert SIEM-Warnungen automatisch mit Kontextinformationen aus dem MITRE ATT&CK-Framework an und bietet Sicherheitsteams so tiefere Einblicke in potenzielle Bedrohungen.

- Integration mit Zendesk:

Durch die Erstellung von Tickets in Zendesk optimiert der Workflow den Reaktionsprozess auf Vorfälle, sodass Supportteams Warnungen effektiv verfolgen und verwalten können.

- Echtzeitverarbeitung:

Der Workflow arbeitet in Echtzeit und stellt sicher, dass Warnungen verarbeitet und angereichert werden, sobald sie generiert werden, was für eine rechtzeitige Reaktion auf Vorfälle von entscheidender Bedeutung ist.

- Anpassbar:

Der Workflow kann leicht geändert werden, um verschiedene Alarmtypen oder zusätzliche Datenquellen zu berücksichtigen, sodass er an verschiedene organisatorische Anforderungen angepasst werden kann.

Tools-Integration

- MITRE ATT&CK API:

Der Workflow lässt sich in das MITRE ATT&CK-Framework integrieren, um relevante Taktiken und Techniken im Zusammenhang mit SIEM-Warnungen abzurufen.

- Zendesk:

Der Workflow nutzt den Zendesk-Knoten, um Support-Tickets zu erstellen und zu verwalten und so die Kommunikation und Verfolgung von Sicherheitsvorfällen zu erleichtern.