自動化による SIEM アラートの強化

仕組み

「自動化による SIEM アラートの強化」というタイトルのワークフローは、セキュリティ情報およびイベント管理 (SIEM) アラートを MITRE ATT&CK フレームワークからのコンテキスト情報で強化し、その後、さらなる調査のために Zendesk でチケットを作成するように設計されています。ワークフローは、データの取得、処理、統合を容易にするさまざまなノードを利用して、一連の連続したステップで動作します。

1. トリガー ノード:

ワークフローは、新しい SIEM アラートが生成されたときにアクティブ化されるトリガー ノードから始まります。このノードは、アラートのタイプ、重大度、タイムスタンプなどの関連メタデータを含むアラートの詳細をキャプチャします。

2. HTTP リクエスト ノード:

トリガーに続いて、HTTP リクエスト ノードを使用して MITRE ATT&CK API をクエリします。このノードは、前のステップで特定された特定のアラート タイプに関連付けられた戦術とテクニックを取得するリクエストを送信します。 API からの応答は、アラートを強化する貴重なコンテキストを提供します。

3. 関数ノード:

MITRE ATT&CK API から受信したデータは、関数ノードによって処理されます。このノードは、応答の書式設定と、Zendesk チケットに含まれる関連する戦術やテクニックなどの重要な情報の抽出を担当します。

4. Zendesk ノード:

データの処理後、Zendesk ノードを利用して新しいチケットが作成されます。 SIEM アラートからの充実した情報と、MITRE ATT&CK フレームワークからのコンテキスト データがチケットの説明に含まれます。これにより、サポート チームは効果的なインシデント対応に必要な情報をすべて入手できるようになります。

5. 終了ノード:

最後に、ワークフローは終了ノードで終了し、プロセスの完了を通知します。このノードは、すべての操作が正常に実行され、後続のアラートに対してワークフローを再度トリガーできることを保証します。

主な機能

- 自動強化:

このワークフローは、MITRE ATT&CK フレームワークからのコンテキスト情報を使用して SIEM アラートを自動的に強化し、セキュリティ チームに潜在的な脅威に対するより深い洞察を提供します。

- Zendesk との統合:

Zendesk でチケットを作成することで、ワークフローによってインシデント対応プロセスが合理化され、サポート チームがアラートを効果的に追跡および管理できるようになります。

- リアルタイム処理:

ワークフローはリアルタイムで動作し、アラートが生成されるとすぐに処理および強化されます。これはタイムリーなインシデント対応にとって重要です。

- カスタマイズ可能:

ワークフローは、さまざまなアラート タイプや追加のデータ ソースに合わせて簡単に変更でき、組織のさまざまなニーズに適応できます。

ツールの統合

- MITRE ATT&CK API:

ワークフローは MITRE ATT&CK フレームワークと統合され、SIEM アラートに関連する関連戦術とテクニックを取得します。

- Zendesk:

ワークフローは Zendesk ノードを使用してサポート チケットを作成および管理し、セキュリティ インシデントのコミュニケーションと追跡を容易にします。

- n8n ノード:

このワークフローで使用される特定のノードには次のものがあります。

• トリガーノード (SIEM アラート用)

• HTTP リクエスト ノード (MITRE ATT&CK API をクエリするため)

・ファンクションノード（データ処理用）

• Zendesk Node (チケット作成用)

API キーが必要です

- MITRE ATT&CK API キー:

API で認証が必要な場合、MITRE ATT&CK フレームワークにアクセスするために API キーまたはトークンが必要になります。

- Zendesk API 認証情報:

Zendesk でチケットを作成するには、有効な API 認証情報 (API キーや OAuth トークンなど) が必要です。

• どのサービスにも API キーや認証情報が必要ない場合は、そのことを明確に示す必要があります。