Gerund door het team van Workflow Orchestration en AI Platform Tines, bevat de Tines -bibliotheek meer dan 1.000 vooraf gebouwde workflows die worden gedeeld door beveiligingsbeoefenaars uit de hele gemeenschap – allemaal gratis te importeren en te implementeren via de gemeenschapseditie van het platform.
De workflow die we benadrukken, benadrukken stroomlijnen beveiligingswaarschuwing door automatisch de juiste standaardbedrijfsprocedures (SOP’s) uit Confluence te identificeren en uit te voeren. Wanneer een waarschuwing wordt geactiveerd, analyseren AI -agenten deze, vinden ze relevante SOP’s en voeren de vereiste saneringsstappen uit – terwijl het on -call team op de hoogte houdt via Slack.
Het is gemaakt door Michael Tolan, beveiligingsonderzoeker L2 bij Tines, en Peter Wrenn, Senior Solutions Engineer bij Tines.
In deze handleiding delen we een overzicht van de workflow, plus stapsgewijze instructies om het in gebruik te nemen.
Het probleem – handmatige alert triage en SOP -uitvoering
Voor beveiligingsteams vereist het efficiënt reageren op meldingen snel het type dreiging identificeren, het vinden van de juiste SOP en het uitvoeren van de vereiste saneringsstappen.
Vanuit een workflowperspectief moeten teams vaak:
- Analyseer handmatig inkomende beveiligingswaarschuwingen
- Zoek door samenvloeiing naar relevante SOP’s
- Bevindingen en acties documenteren in casemanagementsystemen
- Voer meerdere saneringsstappen uit in verschillende beveiligingstools
- Werk het case management -systeem opnieuw op na het feit
- Stakeholders op de hoogte brengen van incidenten en ondernomen acties
Dit handmatige proces is tijdrovend, vatbaar voor menselijke fouten en kan leiden tot inconsistente hantering van vergelijkbare meldingen.
De oplossing – AI -aangedreven alert triage met geautomatiseerde SOP -uitvoering
Deze voorgebouwde workflow automatiseert het hele alert triage -proces door gebruik te maken van AI -agenten en samenvloeiing SOP’s. De workflow helpt beveiligingsteams sneller en consistenter te reageren door:
- AI gebruiken om inkomende meldingen te analyseren en te classificeren
- Automatisch het vinden van relevante SOP’s in samenvloeiing
- Gestructureerde case records maken voor tracking
- Een tweede AI -agent (subagent) implementeren om saneringsstappen uit te voeren
- Alle acties documenteren en het on-call-team op de hoogte stellen via Slack
Het resultaat is een gestroomlijnde reactie op beveiligingswaarschuwingen die ervoor zorgen dat consistente afhandeling volgens vastgestelde procedures.
Belangrijkste voordelen van deze workflow
- Verminderde gemiddelde tijd tot sanering (MTTR)
- Consistente toepassing van beveiligingsprocedures
- Uitgebreide documentatie van alle ondernomen acties
- Verminderde analist -vermoeidheid van repetitieve taken
- Verbeterde zichtbaarheid door geautomatiseerde meldingen
Workflow -overzicht
Gebruikte tools:
- Tines – Workflow Orchestration and AI -platform (gratis community edition beschikbaar)
- Confluentie – Kennisbeheersplatform voor SOP’s
Deze specifieke workflow ook gebruik de volgende stukken software. U kunt echter elke verrijking gebruiken/sanering Tools momenteel bestaande binnen Uw technologiestapel naast tanden en samenvloeiing.
- CrowdStrike – Threat Intelligence and EDR -platform
- Misbruiktipdb – ip reputatiedatabase
- E -mailrep – e -mailreputatie -service
- Okta – Identiteit en toegangsbeheer
- Slack – Team Samenwerkingsplatform
- Tavily – AI Research Tool
- Urlscan.io – url -analyseservice
- ViRustotal – Bestands- en URL -scanservice
Hoe het werkt
Deel 1: Alert inname en analyse
- Ontvang beveiligingswaarschuwing van geïntegreerde beveiligingstools
- AI -agent analyseert de waarschuwing om het type en de ernst te bepalen
- Systeem zoekt samenvloeiing voor relevante SOP’s op basis van alertclassificatie
- Maak een case -record met waarschuwingsdetails en geïdentificeerde SOP
Deel 2: Sanering en documentatie
- Tweede AI -agent beoordeelt de case- en SOP -instructies
- AI Agent orkestreert saneringsacties bij geschikte beveiligingstools
- Alle acties zijn gedocumenteerd in de case -geschiedenis
- Slack-melding wordt verzonden naar het on-call-team met waarschuwingsgegevens en ondernomen acties
De workflow configureren-stapsgewijze handleiding
1. Meld u aan op Tines of maak een nieuw account aan.
2. Navigeer naar de vooraf gebouwde workflow in de bibliotheek. Selecteer importeren.
3. Stel uw referenties in
U hebt inloggegevens nodig voor alle tools die in deze workflow worden gebruikt. U kunt al het gereedschap toevoegen of verwijderen dat u wilt bij uw omgeving.
- Samenvloeiing
- Crowdstrike
- Misbruiktipdb
- E -mailrep
- Okta
- Slap
- Tavily
- Urlscan.io
- Virutotaal
Selecteer vanuit de pagina Referenties een nieuwe referentie, scrol naar beneden naar de relevante referentie en voltooi de vereiste velden. Volg de referentiegidsen op uitgeluiden.tines.com als u hulp nodig hebt.
4. Configureer uw acties.
Stel uw omgevingsvariabelen in. In deze specifieke workflow vereist dat specifiek het Slack -kanaal instellen voor meldingen (standaard naar #Alerts, maar kan worden aangepast in de Slack -actie).
5. Pas de AI -prompts aan
De workflow bevat twee belangrijke AI -agenten:
- Alert Analysis Agent: Pas de prompt aan om alerttypen te helpen identificeren
- Saneringsagent: Pas de prompt aan om saneringsacties te begeleiden
6. Test de workflow.
Maak een testwaarschuwing om te verifiëren:
- Alert is correct geclassificeerd
- Correct SOP wordt opgehaald uit samenvloeiing
- Case wordt gemaakt met geschikte details
- Saneringsstappen worden uitgevoerd
- Slack -melding wordt verzonden
7. Publiceren en operationaliseren
Eenmaal getest, publiceer je de workflow en integreert je met je beveiligingstools om live meldingen te ontvangen.
Als u deze workflow wilt testen, kunt u zich aanmelden voor een gratis Tines -account.
