Gerund door het team van Workflow Orchestration en AI Platform Tines, bevat de Tines -bibliotheek vooraf gebouwde workflows die worden gedeeld door beveiligingsbeoefenaars uit de hele gemeenschap – allemaal gratis te importeren en te implementeren via de Community Edition van het platform.
Een recente opvallende is een workflow die monitoring voor beveiligingsadviezen van CISA en andere leveranciers automatiseert, adviezen verrijkt met CrowdStrike Threat Intelligence en het maken van tickets en melding stroomlijnt. Ontwikkeld door Josh McLaughlin, een beveiligingsingenieur bij LivePerson, vermindert de workflow het handmatig werk drastisch en houdt analisten de controle over definitieve beslissingen, waardoor teams op de hoogte blijven van nieuwe kwetsbaarheden.
“Vóór automatisering kostte het maken van tickets voor 45 kwetsbaarheden ongeveer 150 minuten werk”, legt Josh uit. “Na automatisering daalde de tijd die nodig was voor hetzelfde aantal tickets tot ongeveer 60 minuten, waardoor aanzienlijke tijd werd bespaard en analisten bevrijden van handmatige taken zoals copy-paste en webbrowsen.” Het beveiligingsteam van LivePerson verminderde de tijd dat dit proces met 60% kost door automatisering en orkestratie, waardoor een belangrijke boost werd gecreëerd voor zowel efficiëntie als moreel van analisten.
In deze handleiding delen we een overzicht van de workflow, plus stapsgewijze instructies om het in gebruik te nemen.
Het probleem – handmatig volgen van kritieke adviezen
Voor beveiligingsteams is het tijdige bewustzijn van nieuw bekendgemaakte kwetsbaarheden essentieel-maar het monitoren van meerdere bronnen, het verrijken van adviezen met bedreigingsinformatie en het creëren van tickets voor sanering zijn tijdrovende en foutgevoelige taken.
Teams moeten vaak:
- Controleer CISA en andere bronnen handmatig op adviezen
- Onderzoeksgerelateerde CVES
- Bepaal of actie nodig is
- Maak handmatig tickets en meld belanghebbenden
Deze repetitieve stappen verbruiken niet alleen waardevolle analistentijd, maar riskeren ook inconsistente antwoorden als een belangrijke kwetsbaarheid wordt gemist of vertraagd.
De oplossing – geautomatiseerde monitoring, verrijking en ticketing
Josh’s vooraf gebouwde workflow automatiseert het proces end-to-end-maar cruciaal is dat analisten de controle hebben op belangrijke beslissingspunten:
- Het trekt nieuwe adviezen van CISA (of een gekozen open-source feed)
- Het verrijkt de bevindingen met behulp van Crowdstrike’s dreigingsinformatie
- Het meldt het beveiligingsteam in Slack en vraagt hen om snel input te geven via goedkeuren en knoppen te weigeren
- Na goedkeuring maakt het automatisch een ServiceNow -ticket met de details van de kwetsbaarheid
Het resultaat is een gestroomlijnd, efficiënt proces dat ervoor zorgt dat kwetsbaarheden snel worden gevolgd en ondernemen, zonder het kritische denken en de prioriteiten op te offeren die alleen analisten kunnen bieden.
Belangrijkste voordelen van deze workflow:
- Vermindert de handmatige inspanning en versnelt de responstijd
- Maakt gebruik van dreigingsinformatie voor slimmer prioritering
- Zorgt voor een consistente afhandeling van nieuwe kwetsbaarheden
- Versterkt de samenwerking tussen beveiliging en IT -teams
- Verhoogt het moreel door vervelende taken te elimineren
- Houdt analisten in controle bij eenvoudige, snelle goedkeuringen
Workflow -overzicht
Gebruikte tools:
- Tines – Workflow Orchestration and AI Platform (Community Edition beschikbaar)
- CrowdStrike – Dreiging Intelligence and EDR -platform
- ServiceNow – Ticketing en ITSM -platform
- Slack – Team Samenwerkingsplatform
Hoe het werkt:
- RSS Feed Collection: haalt de nieuwste adviezen van CISA’s RSS -feed op
- Deduplicatie: filtert dubbele adviezen uit
- Leverancierfiltering: richt zich op adviezen van belangrijke leveranciers en services (bijv. Microsoft, Citrix, Google, Atlassian).
- CVE -extractie: identificeert CVS uit adviesbeschrijvingen
- Verrijking: kruisverwijzingen CVS met CrowdStrike Dreiging Intelligence voor extra context
- Slack melding: stuurt een verrijkte kwetsbaarheid met actieknoppen naar een speciaal Slack -kanaal
- Goedkeuringsstroom:
- Indien goedgekeurd, creëert de workflow een ServiceNow -ticket
- Indien geweigerd, registreert de workflow de beslissing zonder een ticket te maken
De workflow configureren-stapsgewijze handleiding
1. Log in op Tines of maak een nieuw account aan.
2. Navigeren naar De vooraf gebouwde workflow in de bibliotheek. Selecteer importeren. Dit zou u meteen naar uw nieuwe vooraf gebouwde workflow moeten brengen.
3. Stel uw referenties in
U hebt drie referenties nodig toegevoegd aan uw Tines -huurder:
- Crowdstrike
- Diensten
- Slap
Merk op dat vergelijkbare services als hierboven vermeld ook kunnen worden gebruikt, met enkele aanpassingen aan de workflow.
Selecteer vanuit de pagina Referenties een nieuwe referentie, scrol naar beneden naar de relevante referentie en voltooi de vereiste velden. Volg de CrowdStrike, ServiceNow en Slack Credential Guides op Explain.Tines.com als u hulp nodig hebt.
4. Configureer uw acties.
- Stel het Slack -kanaal in voor adviesmeldingen (SLACK_CHANNEL_VULN_ADVISIALE REUZING).
- Stel uw ServiceNow -ticketgegevens in het Create Ticket in ServiceNow Action (bijv. Prioriteit, toewijzingsgroep).
- Pas de regels van de leverancier in indien nodig om te voldoen aan de prioriteiten van uw organisatie.
5. Test de workflow.
Trek een test activeren door recente adviezen uit CISA te krijgen en te verifiëren:
- Slack -meldingen worden verzonden met de juiste opmaak
- Goedkeuringsknoppen functioneren zoals verwacht
- ServiceNow -tickets worden correct gemaakt bij goedkeuring
6. Publiceren en operationaliseren
Eenmaal getest, publiceer de workflow. Deel het Slack -kanaal met uw team om advies efficiënt te beoordelen en goed te keuren.
Als u deze workflow wilt testen, kunt u zich aanmelden voor een gratis Tines -account.
