Улучшите оповещения SIEM с помощью автоматизации

Как это работает

Рабочий процесс под названием «Улучшение оповещений SIEM посредством автоматизации» предназначен для обогащения оповещений управления информацией о безопасности и событиями (SIEM) контекстной информацией из инфраструктуры MITRE ATT&CK и последующего создания заявок в Zendesk для дальнейшего расследования. Рабочий процесс состоит из серии последовательных шагов с использованием различных узлов, которые облегчают поиск, обработку и интеграцию данных.

1. Триггерный узел

. Рабочий процесс начинается с триггерного узла, который активируется при создании нового оповещения SIEM. Этот узел фиксирует детали оповещения, включая соответствующие метаданные, такие как тип оповещения, серьезность и метка времени.

2. Узел HTTP-запроса:

после триггера используется узел HTTP-запроса для запроса API MITRE ATT&CK. Этот узел отправляет запрос на получение тактики и методов, связанных с конкретным типом оповещения, определенным на предыдущем шаге. Ответ API предоставляет ценный контекст, который усиливает оповещение.

3. Функциональный узел:

данные, полученные от API MITRE ATT&CK, затем обрабатываются функциональным узлом. Этот узел отвечает за форматирование ответа и извлечение ключевой информации, такой как соответствующие тактики и методы, которая будет включена в заявку Zendesk.

4. Узел Zendesk:

после обработки данных узел Zendesk используется для создания нового билета. Расширенная информация из оповещения SIEM, а также контекстные данные из платформы MITRE ATT&CK включены в описание заявки. Это гарантирует, что команда поддержки имеет всю необходимую информацию для эффективного реагирования на инциденты.

5. Конечный узел

. Наконец, рабочий процесс завершается конечным узлом, сигнализирующим о завершении процесса. Этот узел гарантирует успешное выполнение всех операций и возможность повторного запуска рабочего процесса для последующих предупреждений.

Основные характеристики

- Автоматическое обогащение:

рабочий процесс автоматически дополняет оповещения SIEM контекстной информацией из инфраструктуры MITRE ATT&CK, предоставляя командам безопасности более глубокое понимание потенциальных угроз.

- Интеграция с Zendesk:

создание заявок в Zendesk упрощает процесс реагирования на инциденты, позволяя группам поддержки эффективно отслеживать оповещения и управлять ими.

- Обработка в реальном времени:

рабочий процесс работает в режиме реального времени, гарантируя, что оповещения обрабатываются и дополняются сразу после их создания, что имеет решающее значение для своевременного реагирования на инциденты.

- Настраиваемость:

рабочий процесс можно легко изменить для соответствия различным типам оповещений или дополнительным источникам данных, что позволяет адаптировать его к различным потребностям организации.

Интеграция инструментов

- MITRE ATT&CK API:

рабочий процесс интегрируется с платформой MITRE ATT&CK для получения соответствующих тактик и методов, связанных с оповещениями SIEM.

- Zendesk:

рабочий процесс использует узел Zendesk для создания заявок в службу поддержки и управления ими, что упрощает общение и отслеживание инцидентов безопасности.

- Узлы n8n

. В этом рабочем процессе используются следующие узлы:

• Триггерный узел (для оповещений SIEM)

• Узел HTTP-запроса (для запроса API MITRE ATT&CK)

• Функциональный узел (для обработки данных)

• Zendesk Node (для создания заявок)

Требуются ключи API

- Ключ API MITRE ATT&CK:

если API требует аутентификации, для доступа к платформе MITRE ATT&CK потребуется ключ API или токен.

- Учетные данные Zendesk API:

для создания заявок в Zendesk требуются действительные учетные данные API (например, ключ API или токен OAuth).

• Если для какой-либо службы не требуются ключи API или учетные данные, это должно быть четко указано.