Mejore las alertas SIEM mediante la automatización

Cómo funciona

El flujo de trabajo titulado "Mejorar las alertas SIEM a través de la automatización" está diseñado para enriquecer las alertas de gestión de eventos e información de seguridad (SIEM) con información contextual del marco MITRE ATT&CK y posteriormente crear tickets en Zendesk para una mayor investigación. El flujo de trabajo opera en una serie de pasos secuenciales, utilizando varios nodos que facilitan la recuperación, el procesamiento y la integración de datos.

1. Nodo activador:

el flujo de trabajo comienza con un nodo activador que se activa cuando se genera una nueva alerta SIEM. Este nodo captura los detalles de la alerta, incluidos metadatos relevantes, como el tipo de alerta, la gravedad y la marca de tiempo.

2. Nodo de solicitud HTTP:

después del activador, se emplea un nodo de solicitud HTTP para consultar la API MITRE ATT&CK. Este nodo envía una solicitud para recuperar tácticas y técnicas asociadas con el tipo de alerta específico identificado en el paso anterior. La respuesta de la API proporciona un contexto valioso que mejora la alerta.

3. Nodo de función:

Los datos recibidos de la API MITRE ATT&CK luego son procesados ​​por un nodo de función. Este nodo es responsable de formatear la respuesta y extraer información clave, como las tácticas y técnicas relevantes, que se incluirán en el ticket de Zendesk.

4. Nodo Zendesk:

después de procesar los datos, se utiliza un nodo Zendesk para crear un nuevo ticket. La información enriquecida de la alerta SIEM, junto con los datos contextuales del framework MITRE ATT&CK, se incluye en la descripción del ticket. Esto garantiza que el equipo de soporte tenga toda la información necesaria para una respuesta efectiva a incidentes.

5. Nodo final:

Finalmente, el flujo de trabajo concluye con un nodo final, lo que indica la finalización del proceso. Este nodo garantiza que todas las operaciones se hayan ejecutado correctamente y que el flujo de trabajo pueda activarse nuevamente para alertas posteriores.

Características clave

- Enriquecimiento automatizado:

el flujo de trabajo enriquece automáticamente las alertas SIEM con información contextual del marco MITRE ATT&CK, brindando a los equipos de seguridad información más profunda sobre amenazas potenciales.

- Integración con Zendesk:

al crear tickets en Zendesk, el flujo de trabajo agiliza el proceso de respuesta a incidentes, lo que permite a los equipos de soporte rastrear y administrar alertas de manera efectiva.

- Procesamiento en tiempo real:

el flujo de trabajo opera en tiempo real, lo que garantiza que las alertas se procesen y enriquezcan tan pronto como se generan, lo cual es fundamental para una respuesta oportuna a incidentes.

- Personalizable:

el flujo de trabajo se puede modificar fácilmente para adaptarse a diferentes tipos de alertas o fuentes de datos adicionales, lo que lo hace adaptable a diversas necesidades organizativas.

Integración de herramientas

- API MITRE ATT&CK:

el flujo de trabajo se integra con el marco MITRE ATT&CK para recuperar tácticas y técnicas relevantes asociadas con las alertas SIEM.

- Zendesk:

El flujo de trabajo utiliza el nodo Zendesk para crear y gestionar tickets de soporte, facilitando la comunicación y el seguimiento de incidentes de seguridad.

- Nodos n8n:

los nodos específicos utilizados en este flujo de trabajo incluyen:

• Nodo de activación (para alertas SIEM)

• Nodo de solicitud HTTP (para consultar la API MITRE ATT&CK)

• Nodo de Función (para procesamiento de datos)

• Zendesk Nodo (para crear tickets)

Se requieren claves API

- Clave API MITRE ATT&CK:

Si la API requiere autenticación, será necesaria una clave API o un token para acceder al marco MITRE ATT&CK.

- Credenciales API de Zendesk:

para crear tickets en Zendesk, se requieren credenciales API válidas (como una clave API o un token OAuth).

• Si no se necesitan claves API o credenciales para alguno de los servicios, se deberá indicar claramente.