Hoe u een CrowdStrike RFM-rapport kunt genereren met AI in Tines

De Tines-bibliotheek wordt beheerd door het team van het orkestratie-, AI- en automatiseringsplatform Tines en bevat vooraf gebouwde workflows die worden gedeeld door echte beveiligingsprofessionals uit de hele gemeenschap, die allemaal gratis kunnen worden geïmporteerd en geïmplementeerd via de Community Edition van het platform.

Hun tweejaarlijkse “You Did What with Tines ?!” concurrentie belicht enkele van de meest interessante workflows die door hun gebruikers zijn ingediend, waarvan er vele praktische toepassingen van grote taalmodellen (LLM’s) demonstreren om complexe uitdagingen bij beveiligingsoperaties aan te pakken.

Een recente winnaar is een workflow die is ontworpen om CrowdStrike RFM-rapportage te automatiseren. Het is ontwikkeld door Tom Power, een beveiligingsanalist aan de Universiteit van British Columbia, en maakt gebruik van orkestratie, AI en automatisering om de tijd die aan handmatige rapportage wordt besteed te verminderen.

Hier delen we een overzicht van de workflow, plus een stapsgewijze handleiding om deze aan de slag te krijgen.

Het probleem: tijdrovende rapportage

De bouwer van de workflow, Tom Power, legt uit: “De CrowdStrike Falcon-sensor gaat naar de Reduced Functionality Mode (RFM), meestal omdat het besturingssysteem (OS) of de kernelversie te oud of te nieuw is om door de sensor in de kernelmodus te worden ondersteund. Een week later logde SecOps in op de Falcon-console en filterde de hostbeheerconsole op eindpunten in RFM van de afgelopen week. We zouden het rapport genereren en downloaden.’

Dit proces leverde cruciale gegevens op voor het identificeren van kernelupdates die RFM veroorzaken, met name voor Linux-eindpunten. Het team moest echter handmatig controleren of CrowdStrike een nieuwe sensorversie had uitgebracht die compatibel was met de nieuwste kernelupdates.

“Het hele proces duurde elke week ongeveer 30 minuten”, voegt Tom toe. “In de loop van een jaar kwam dat neer op meer dan 25 uur tijd die we aan andere cyberveiligheidsprioriteiten hadden kunnen besteden.”

De oplossing: geautomatiseerde RFM-rapportage met AI

CrowdStrike RFM-rapport

De workflow van Tom automatiseert het volgen en rapporteren van Falcon Sensor RFM over hosts. Door gebruik te maken van de AI-gestuurde automatische modus van Tines wordt aangepaste code gegenereerd om het maken van rapporten te stroomlijnen. De workflow produceert niet alleen regelmatige, consistente rapporten, maar stelt het management ook in staat trends in RFM-voorvallen te monitoren, ter ondersteuning van proactief systeemgezondheidsbeheer en snellere besluitvorming.

De geautomatiseerde workflow elimineert de noodzaak van handmatige rapportage, doordat analisten verzoeken kunnen indienen via een eenvoudig webformulier. Binnen enkele minuten haalt de workflow gegevens op, verwerkt deze en levert een bruikbaar e-mailrapport op, compleet met gedetailleerde inzichten en een CSV-bijlage.

Voorbeelduitvoer:

Hier is een voorbeeld van de automatisch gegenereerde e-mail en het rapport dat het team heeft ontvangen:

CrowdStrike RFM-rapport
CrowdStrike RFM-rapport

Hier zijn enkele van de belangrijkste voordelen van het gebruik van deze workflow:

  • Geeft analisten de tijd om zich te concentreren op cyberbeveiligingstaken met hoge prioriteit.
  • Vermindert handmatige inspanningen en de kans op menselijke fouten.
  • Levert consistente, betrouwbare rapporten voor verbeterde productiviteit.
  • Verbetert de besluitvorming door realtime inzichten te bieden.
  • Verhoogt het moreel door een vervelende en repetitieve taak uit de weg te ruimen.
CrowdStrike RFM-rapport

Overzicht van de workflow

Gebruikt gereedschap:

  • Tines: een platform voor workfloworkestratie, AI en automatisering dat populair is bij beveiligingsteams. Het is mogelijk om de gratis Community-editie van Tines te gebruiken om deze workflow te bouwen en uit te voeren als je geen betaald account hebt. AI moet zijn ingeschakeld op uw tenant.
  • CrowdStrike – platform voor eindpuntdetectie en respons (EDR). Deze workflow kan worden geïntegreerd met de API van CrowdStrike Falcon om gegevens over eindpunten op te halen in de Reduced Functionality Mode (RFM). Hoewel Falcon een robuust inzicht in eindpunten biedt, ontbreekt het aan native automatisering voor terugkerende RFM-rapporten.

De workflow wordt gestart wanneer een webformulier wordt ingediend, waardoor het proces wordt geactiveerd om CrowdStrike RFM-rapporten te genereren.

De eerste actie haalt een lijst met apparaat-ID’s op uit de API van CrowdStrike Falcon. Als de lijst groter is dan wat CrowdStrike in de eerste batch retourneert, worden er meerdere oproepen gedaan om door de volledige lijst te bladeren.

Zodra alle apparaatgegevens zijn opgehaald, consolideert de workflow deze in één enkele bron. Deze bron fungeert als basis voor analyse, waarbij het aantal Linux-, Windows- en Mac-hosts wordt berekend en aan de gegevens wordt toegevoegd.

Met behulp van de geconsolideerde bron genereert de workflow een HTML-samenvattingstabel om de gegevens in een gestructureerd formaat te presenteren. Deze tabel wordt vervolgens omgezet naar een CSV-bestand, waardoor deze geschikt is voor rapportagedoeleinden.

Het CSV-rapport wordt ter beoordeling naar belanghebbenden gemaild. Om de efficiëntie en gegevenshygiëne te behouden, verwijdert de workflow de tijdelijke bron nadat de e-mail is verzonden, zodat deze klaar is voor de volgende cyclus.

Door deze stappen te automatiseren, elimineert de workflow handmatige inspanningen, vermindert het risico op fouten en biedt het consistente, up-to-date rapportage over apparaten met verminderde functionaliteit in de hele omgeving.

De workflow configureren – stapsgewijze handleiding

CrowdStrike RFM-rapport
  1. Log in op Tines of maak een nieuw account aan.
  2. Zorg ervoor dat AI is ingeschakeld op uw tenant. Hiervoor moet u huurdereigenaar zijn. Selecteer de vervolgkeuzelijst met accountinstellingen linksboven in uw scherm en vink het vakje aan om AI in te schakelen.
  3. CrowdStrike RFM-rapport
  4. Creëer uw CrowdStrike-inloggegevens. Selecteer op de inloggegevenspagina Nieuwe inloggegevens, scrol omlaag naar de CrowdStrike-inloggegevens en vul de vereiste velden in.
  5. Navigeer naar de vooraf gebouwde workflow in de bibliotheek.
  6. Selecteer importeren. Dit zou u rechtstreeks naar uw nieuwe vooraf gebouwde workflow moeten brengen.
  7. Configureer uw acties. Misschien wilt u bijvoorbeeld de lay-out van de Tines-pagina bewerken waarmee de workflow wordt gestart.
  8. Test de werkstroom. Dien een afbeelding in via het formulier om uw workflow te testen.
  9. Publiceer uw workflow en deel de pagina-URL met uw gewenste gebruikers.

Het inbouwen van andere automatiseringsplatformen

Je zou een ander automatiseringsplatform zonder code kunnen gebruiken om een ​​soortgelijke service te bouwen, hoewel het de moeite waard is om op te merken dat sommige functies in deze workflow uniek zijn voor Tines:

  • Pagina’s: Deze workflow wordt gestart door het indienen van een formulier op een webpagina. Dit is gebouwd met behulp van de Pages-functie van Tines.
    • Alternatief: Gebruik een geplande trigger om de workflow te starten.
  • Gebeurtenistransformatie in automatische modus: Deze functie maakt gebruik van build-time AI om Python-code samen te stellen op basis van de begeleiding en de input die de bouwer biedt. Nadat u uw wijzigingen heeft opgeslagen, wordt de code vergrendeld. Dit betekent dat wanneer de actie wordt uitgevoerd, alleen de code wordt uitgevoerd en er geen AI bij betrokken is.
    • Alternatief: Schrijf handmatig Python-code om uw gegevens te transformeren.

Als je AI in Tines zelf wilt verkennen of deze workflow wilt uitproberen, kun je je aanmelden voor een gratis account inclusief AI-functionaliteit.

Thijs Van der Does