Améliorez les alertes SIEM grâce à l'automatisation

Security/IT

Augmente les notifications SIEM à l’aide des informations MITRE ATT&CK et se connecte à Zendesk.

Comment ça marche

Le flux de travail intitulé « Améliorer les alertes SIEM grâce à l'automatisation » est conçu pour enrichir les alertes de gestion des informations et des événements de sécurité (SIEM) avec des informations contextuelles du framework MITRE ATT&CK et créer ensuite des tickets dans Zendesk pour une enquête plus approfondie. Le flux de travail fonctionne en une série d'étapes séquentielles, utilisant divers nœuds qui facilitent la récupération, le traitement et l'intégration des données.

1. Nœud déclencheur :

le flux de travail commence par un nœud déclencheur qui s'active lorsqu'une nouvelle alerte SIEM est générée. Ce nœud capture les détails de l'alerte, y compris les métadonnées pertinentes telles que le type d'alerte, la gravité et l'horodatage.

2. Nœud de requête HTTP :

suite au déclencheur, un nœud de requête HTTP est utilisé pour interroger l'API MITRE ATT&CK. Ce nœud envoie une demande pour récupérer les tactiques et techniques associées au type d'alerte spécifique identifié à l'étape précédente. La réponse de l'API fournit un contexte précieux qui améliore l'alerte.

3. Nœud de fonction :

les données reçues de l'API MITRE ATT&CK sont ensuite traitées par un nœud de fonction. Ce nœud est responsable du formatage de la réponse et de l’extraction des informations clés, telles que les tactiques et techniques pertinentes, qui seront incluses dans le ticket Zendesk.

4. Nœud Zendesk :

Après avoir traité les données, un nœud Zendesk est utilisé pour créer un nouveau ticket. Les informations enrichies de l'alerte SIEM, ainsi que les données contextuelles du framework MITRE ATT&CK, sont incluses dans la description du ticket. Cela garantit que l’équipe d’assistance dispose de toutes les informations nécessaires pour une réponse efficace aux incidents.

5. Nœud de fin :

Enfin, le flux de travail se termine par un nœud de fin, signalant l'achèvement du processus. Ce nœud garantit que toutes les opérations ont été exécutées avec succès et que le workflow peut être à nouveau déclenché pour les alertes ultérieures.

Principales fonctionnalités

- Enrichissement automatisé :

le flux de travail enrichit automatiquement les alertes SIEM avec des informations contextuelles provenant du framework MITRE ATT&CK, offrant ainsi aux équipes de sécurité des informations plus approfondies sur les menaces potentielles.

- Intégration avec Zendesk :

en créant des tickets dans Zendesk, le workflow rationalise le processus de réponse aux incidents, permettant aux équipes d'assistance de suivre et de gérer efficacement les alertes.

- Traitement en temps réel :

le flux de travail fonctionne en temps réel, garantissant que les alertes sont traitées et enrichies dès qu'elles sont générées, ce qui est essentiel pour une réponse rapide aux incidents.

- Personnalisable :

le flux de travail peut être facilement modifié pour s'adapter à différents types d'alertes ou à des sources de données supplémentaires, le rendant ainsi adaptable à divers besoins organisationnels.

Intégration d'outils

- API MITRE ATT&CK :

le flux de travail s'intègre au framework MITRE ATT&CK pour récupérer les tactiques et techniques pertinentes associées aux alertes SIEM.

- Zendesk :

le workflow utilise le nœud Zendesk pour créer et gérer les tickets d'assistance, facilitant ainsi la communication et le suivi des incidents de sécurité.