Hoe u ticketcreatie, apparaatidentificatie en bedreiging triage met tanden kunt automatiseren

Cyberbeveiliging
Hoe u ticketcreatie, apparaatidentificatie en bedreiging triage met tanden kunt automatiseren

Gerund door het team van Workflow Orchestration en AI Platform Tines, bevat de Tines -bibliotheek meer dan 1.000 vooraf gebouwde workflows die worden gedeeld door beveiligingsbeoefenaars uit de hele gemeenschap – allemaal gratis te importeren en te implementeren via de gemeenschapseditie van het platform.

Een recente opvallende is een workflow die malware -meldingen afhandelt met CrowdStrike, Oomnitza, GitHub en Pagerduty. Ontwikkeld door Lucas Cantor bij Intercom, de makers van Fin.AI, maakt de workflow het gemakkelijker om de ernst van een beveiligingswaarschuwing te bepalen en naadloos te escaleren, afhankelijk van de reactie van de apparaateigenaar. “Het is een geweldige manier om geluid te verminderen en context toe te voegen aan beveiligingsproblemen die ook aan onze eindpunten worden toegevoegd”, legt Lucas uit.

In deze handleiding delen we een overzicht van de workflow, plus stapsgewijze instructies om het in gebruik te nemen.

Het probleem – gebrek aan integratie tussen beveiligingstools

Voor beveiligingsteams, reageren op malwaredreigingen, het analyseren van hun ernst en het identificeren van de apparaateigenaar zodat er contact op kan worden gemaakt om de dreiging op te lossen, kan veel tijd in beslag nemen.

Vanuit een workflowperspectief moeten teams vaak:

  • Reageren handmatig op CrowdStrike -evenementen
  • Verrijk de waarschuwing met extra metagegevens
  • Documenteer en waarschuw de apparaateigenaar in Slack
  • Op de oproepteams op de hoogte stellen via Pagerduty

Het handmatig doorgaan van dit proces kan leiden tot vertragingen en de kansen op menselijke fouten vergroten.

De oplossing – geautomatiseerde ticketcreatie, apparaatidentificatie en bedreiging triage

Lucas’s voorgebouwde workflow automatiseert het proces van het nemen van de malware -melding en het maken van de case – terwijl de eigenaar van het apparaat en het on -call -team cruciaal is. Deze workflow helpt beveiligingsteams om het niveau van dreiging sneller te identificeren door:

  • Nieuwe meldingen detecteren van CrowdStrike
  • De apparaateigenaar identificeren en op de hoogte brengen
  • Escalerende kritieke problemen

Het resultaat is gestroomlijnd antwoord op malware -beveiligingswaarschuwingen die ervoor zorgen dat ze snel worden behandeld, ongeacht de ernst.

Belangrijkste voordelen van deze workflow:

  • Verminderde saneringstijd
  • Device -eigenaar wordt geïnformeerd
  • Duidelijke sanerings- en escalatiepaden
  • Gecentraliseerd beheersysteem

Workflow -overzicht

Gebruikte tools:

  • Tines – Workflow Orchestration and AI -platform (gratis community edition beschikbaar)
  • CrowdStrike – Threat Intelligence and EDR -platform
  • Oomnitza – IT Asset Management Platform
  • GitHub – ontwikkelaarsplatform
  • PagerDuty – Platform voor incidentbeheer
  • Slack – Team Samenwerkingsplatform

Hoe het werkt

Deel 1

  • Krijg een beveiligingswaarschuwing van CrowdStrike
  • Zoek het apparaat dat de waarschuwing is geactiveerd en zoek de details op
  • Maak een ticket in GitHub voor de waarschuwing en verhoog het probleem in een slappe boodschap
  • Als het apparaat eigendom is van een gebruiker en het is een lage prioriteit,
    • Stuur de eigenaar een bericht om escalatie te vragen
  • Als het apparaat eigendom is van een gebruiker en het is een hoge prioriteit,
    • Maak een PagerDuty-gebeurtenis om de oproepanalist op de hoogte te stellen
    • De eigenaar informeren over de lopende kwestie

Deel 2

  • Krijg een gebruikersinteractie met het Slack -bericht
  • Verrijk het GitHub -probleem met de reactie van de gebruikers
  • Als de eigenaar het probleem escaleert
    • Maak een PagerDuty-gebeurtenis om de oproepanalist op de hoogte te stellen

De workflow configureren-stapsgewijze handleiding

1. Log in op tines of maak een nieuw account aan.

2. Navigeer naar de vooraf gebouwde workflow in de bibliotheek. Selecteer importeren. Dit zou u meteen naar uw nieuwe vooraf gebouwde workflow moeten brengen.

3. Stel uw referenties in

U hebt vijf referenties nodig toegevoegd aan uw Tines -huurder:

  • Crowdstrike
  • Oomnitza
  • Gitub
  • Pagerduty
  • Slap

Merk op dat vergelijkbare services als hierboven vermeld ook kunnen worden gebruikt, met enkele aanpassingen aan de workflow.

Selecteer vanuit de pagina Referenties een nieuwe referentie, scrol naar beneden naar de relevante referentie en voltooi de vereiste velden. Volg de CrowdStrike, Oomnitza, GitHub, Pagerduty en Slack Credential Guides op Explain.Tines.com Als u hulp nodig hebt.

4. Configureer uw acties.

  • Stel uw omgevingsvariabelen in. Dit omvat uw:
    • Slack it Channel Alerting WebHook (`SLACK_CHANNEL_WEBHOOK_URLS_PROD`)
    • CrowdStrike/Github Ernst Priority Mapping (`crowdstrike_to_github_priority_map`)
  • Configureer crowdStrike om de nieuwe CrowdStrike Detection Webhook te waarschuwen wanneer een detectie wordt gemaakt
  • Configureer uw SlackBot Interactivity URL naar de push -webhook van de Black -knop ontvangen

5. Test de workflow.

6. Publiceren en operationaliseren

Eenmaal getest, publiceer de workflow.

Als u deze workflow wilt testen, kunt u zich aanmelden voor een gratis Tines -account.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Epic Games & Samsung regelen juridisch geschil

Samsung Race to Master Advanced 2Nm Chips tegen begin 2026

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]