通过自动化增强 SIEM 警报

它是如何运作的

标题为“通过自动化增强 SIEM 警报”的工作流程旨在利用 MITRE ATT&CK 框架的上下文信息来丰富安全信息和事件管理 (SIEM) 警报，并随后在 Zendesk 中创建票证以供进一步调查。该工作流以一系列顺序步骤运行，利用各种节点来促进数据检索、处理和集成。

1. 触发节点

：工作流程从触发节点开始，该节点在生成新的 SIEM 警报时激活。该节点捕获警报详细信息，包括相关元数据，例如警报类型、严重性和时间戳。

2. HTTP请求节点

：触发后，使用HTTP请求节点来查询MITRE ATT&CK API。该节点发送请求以检索与上一步中识别的特定警报类型相关的策略和技术。 API 的响应提供了增强警报的有价值的上下文。

3. 功能节点

：从 MITRE ATT&CK API 接收的数据然后由功能节点处理。该节点负责格式化响应并提取关键信息，例如相关策略和技术，这些信息将包含在 Zendesk 票证中。

4. Zendesk 节点

：处理数据后，利用 Zendesk 节点创建新工单。 SIEM 警报的丰富信息以及 MITRE ATT&CK 框架的上下文数据都包含在票证描述中。这可确保支持团队拥有有效响应事件所需的所有必要信息。

5. 结束节点

：最后，工作流以结束节点结束，表示流程完成。该节点确保所有操作均已成功执行，并且可以再次触发工作流以发出后续警报。

主要特点

- 自动丰富

：工作流程利用 MITRE ATT&CK 框架的上下文信息自动丰富 SIEM 警报，为安全团队提供对潜在威胁的更深入洞察。

- 与 Zendesk 集成

：通过在 Zendesk 中创建票证，工作流程简化了事件响应流程，使支持团队能够有效地跟踪和管理警报。

- 实时处理

：工作流程实时运行，确保警报一产生就得到处理和丰富，这对于及时响应事件至关重要。

- 可定制

：可以轻松修改工作流程以适应不同的警报类型或其他数据源，从而使其适应各种组织需求。

工具集成

- MITRE ATT&CK API

：工作流程与 MITRE ATT&CK 框架集成，以获取与 SIEM 警报相关的相关策略和技术。

- Zendesk

：工作流程使用 Zendesk 节点创建和管理支持票证，促进安全事件的通信和跟踪。

- n8n 节点

：此工作流程中使用的特定节点包括：

• 触发节点（用于 SIEM 警报）

• HTTP 请求节点（查询 MITRE ATT&CK API）

• 功能节点（用于数据处理）

• Zendesk 节点（用于创建票证）

需要 API 密钥

- MITRE ATT&CK API 密钥

：如果 API 需要身份验证，则需要 API 密钥或令牌才能访问 MITRE ATT&CK 框架。

- Zendesk API 凭证

：要在 Zendesk 中创建票证，需要有效的 API 凭证（例如 API 密钥或 OAuth 令牌）。

• 如果任何服务不需要 API 密钥或凭据，则应明确指出。