Aprimore alertas SIEM por meio da automação
Aumenta as notificações SIEM usando informações MITRE ATT&CK e se conecta ao Zendesk.
Como funciona
O fluxo de trabalho intitulado "Aprimorar alertas SIEM por meio da automação" foi projetado para enriquecer alertas de gerenciamento de informações e eventos de segurança (SIEM) com informações contextuais da estrutura MITRE ATT&CK e, posteriormente, criar tickets no Zendesk para investigação adicional. O fluxo de trabalho opera em uma série de etapas sequenciais, utilizando vários nós que facilitam a recuperação, processamento e integração de dados.
1. Nó acionador:
o fluxo de trabalho começa com um nó acionador que é ativado quando um novo alerta SIEM é gerado. Este nó captura os detalhes do alerta, incluindo metadados relevantes, como tipo de alerta, gravidade e carimbo de data/hora.
2. Nó de solicitação HTTP:
Após o gatilho, um nó de solicitação HTTP é empregado para consultar a API MITRE ATT&CK. Este nó envia uma solicitação para recuperar táticas e técnicas associadas ao tipo de alerta específico identificado na etapa anterior. A resposta da API fornece um contexto valioso que aprimora o alerta.
3. Nó de Função:
Os dados recebidos da API MITRE ATT&CK são então processados por um nó de Função. Este nó é responsável por formatar a resposta e extrair informações importantes, como táticas e técnicas relevantes, que serão incluídas no ticket do Zendesk.
4. Nó Zendesk:
Após o processamento dos dados, um nó Zendesk é utilizado para criar um novo ticket. As informações enriquecidas do alerta SIEM, juntamente com os dados contextuais da estrutura MITRE ATT&CK, estão incluídas na descrição do ticket. Isso garante que a equipe de suporte tenha todas as informações necessárias para uma resposta eficaz a incidentes.
5. Nó Final:
Finalmente, o fluxo de trabalho termina com um nó Final, sinalizando a conclusão do processo. Este nó garante que todas as operações foram executadas com sucesso e que o fluxo de trabalho pode ser acionado novamente para alertas subsequentes.
Principais recursos
- Enriquecimento automatizado:
o fluxo de trabalho enriquece automaticamente os alertas SIEM com informações contextuais da estrutura MITRE ATT&CK, fornecendo às equipes de segurança insights mais profundos sobre possíveis ameaças.
- Integração com Zendesk:
Ao criar tickets no Zendesk, o fluxo de trabalho agiliza o processo de resposta a incidentes, permitindo que as equipes de suporte rastreiem e gerenciem alertas de maneira eficaz.
- Processamento em tempo real:
o fluxo de trabalho opera em tempo real, garantindo que os alertas sejam processados e enriquecidos assim que são gerados, o que é fundamental para uma resposta oportuna a incidentes.
- Personalizável:
o fluxo de trabalho pode ser facilmente modificado para acomodar diferentes tipos de alerta ou fontes de dados adicionais, tornando-o adaptável a diversas necessidades organizacionais.
Integração de ferramentas
- API MITRE ATT&CK:
O fluxo de trabalho se integra à estrutura MITRE ATT&CK para buscar táticas e técnicas relevantes associadas aos alertas SIEM.
- Zendesk:
o fluxo de trabalho usa o nó Zendesk para criar e gerenciar tickets de suporte, facilitando a comunicação e o rastreamento de incidentes de segurança.
- Nós n8n:
os nós específicos utilizados neste fluxo de trabalho incluem:
• Nó de gatilho (para alertas SIEM)
• Nó de solicitação HTTP (para consultar a API MITRE ATT&CK)
• Nó de Função (para processamento de dados)
• Zendesk Node (para criar tickets)
Chaves de API necessárias
- Chave de API MITRE ATT&CK:
Se a API exigir autenticação, uma chave de API ou token será necessária para acessar a estrutura MITRE ATT&CK.
- Credenciais de API do Zendesk:
para criar tickets no Zendesk, são necessárias credenciais de API válidas (como uma chave de API ou token OAuth).
• Se nenhuma chave API ou credencial for necessária para algum dos serviços, isso deverá ser claramente indicado.
