Prueba con "investigadoras"
Tecnología
Aactualidad Mundial
spot_img

Cómo automatizar la respuesta de asesoramiento de CVE y vulnerabilidad con Tines

Cómo automatizar la respuesta de asesoramiento de CVE y vulnerabilidad con Tines

Dirigido por el equipo en Workflow Orchestration y la plataforma de IA Tines, la Biblioteca Tines presenta flujos de trabajo previos a la construcción compartidos por profesionales de seguridad de toda la comunidad, todo libre de importar e implementar a través de la edición comunitaria de la plataforma.

Un destacado reciente es un flujo de trabajo que automatiza el monitoreo de los avisos de seguridad de CISA y otros proveedores, enriquece los avisos con la inteligencia de amenazas de crowdstrike y optimiza la creación y notificación de boletos. Desarrollado por Josh McLaughlin, ingeniero de seguridad de LivePerson, el flujo de trabajo reduce drásticamente el trabajo manual mientras mantiene a los analistas en control de las decisiones finales, ayudando a los equipos a mantenerse al tanto de las nuevas vulnerabilidades.

«Antes de la automatización, crear boletos para 45 vulnerabilidades tomó unos 150 minutos de trabajo», explica Josh. «Después de la automatización, el tiempo necesario para el mismo número de boletos cayó a alrededor de 60 minutos, ahorrando un tiempo significativo y liberando a los analistas de tareas manuales como la copia y la navegación web». El equipo de seguridad de LivePerson redujo el tiempo que lleva este proceso en un 60% a través de la automatización y la orquestación, creando un gran impulso tanto para la eficiencia como para la moral del analista.

En esta guía, compartiremos una descripción general del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.

El problema: seguimiento manual de avisos críticos

Para los equipos de seguridad, la conciencia oportuna de las vulnerabilidades recientemente reveladas es esencial, pero el monitoreo de múltiples fuentes, enriqueciendo los avisos con inteligencia de amenazas y la creación de boletos para la remediación son tareas que requieren mucho tiempo y son tareas propensas a errores.

LEER  Los hackers explotan Google Tag Manager para implementar skimmers de tarjetas de crédito en las tiendas Magento

Los equipos a menudo tienen que:

  • Consulte manualmente CISA y otras fuentes para obtener avisos
  • CVES relacionados con la investigación
  • Decide si se necesita acción
  • Crear manualmente boletos y notificar a las partes interesadas

Estos pasos repetitivos no solo consumen un valioso tiempo de analista, sino que también corren el riesgo de respuestas inconsistentes si se pierde o retrasa una vulnerabilidad importante.

La solución: monitoreo automatizado, enriquecimiento y boleto

El flujo de trabajo preconstruido de Josh automatiza el proceso de extremo a extremo, pero de manera crucial, mantiene a los analistas en control en los puntos de decisión clave:

  • Extrae nuevos avisos de CISA (o una alimentación de código abierto elegido)
  • Enriquece los hallazgos utilizando la inteligencia de amenazas de CrowdStrike
  • Notifica al equipo de seguridad en Slack y les pide que proporcionen información rápidamente a través de los botones de aprobación y negar
  • Tras la aprobación, crea automáticamente un boleto de servicio con los detalles de la vulnerabilidad.

El resultado es un proceso simplificado y eficiente que garantiza que las vulnerabilidades se rastreen y sean actuadas rápidamente, sin sacrificar el pensamiento crítico y la priorización que solo los analistas pueden proporcionar.

Beneficios clave de este flujo de trabajo:

  • Reduce el esfuerzo manual y acelera el tiempo de respuesta
  • Aprovecha la inteligencia de amenazas para una priorización más inteligente
  • Asegura un manejo constante de nuevas vulnerabilidades
  • Fortalece la colaboración entre los equipos de seguridad y de TI
  • Aumenta la moral eliminando tareas tediosas
  • Mantiene a los analistas en control con aprobaciones fáciles y rápidas

Descripción general del flujo de trabajo

Herramientas utilizadas:

  • Tines – Orquestación de flujo de trabajo y plataforma de IA (edición comunitaria disponible)
  • Crowdstrike – Plataforma de inteligencia de amenazas y EDR
  • ServiceNow – Ticketing y la plataforma ITSM
  • Slack – Plataforma de colaboración del equipo
LEER  Hackers encontrados usando CrossC2 para expandir el alcance de Cobalt Strike Beacon a Linux y MacOS

Cómo funciona:

  • Colección RSS Feed: obtiene los últimos avisos de la feed RSS de CISA
  • Deduplicación: Filtra los avisos duplicados
  • Filtrado de proveedores: se centra en los avisos de proveedores y servicios clave (por ejemplo, Microsoft, Citrix, Google, Atlassian).
  • Extracción de CVE: identifica las CVE de las descripciones de asesoramiento
  • Enriquecimiento: referencias cruzadas CVE con crowdstrike inteligencia de amenaza para un contexto adicional
  • Notificación de Slack: envía una vulnerabilidad enriquecida con botones de acción a un canal de holgura dedicado
  • Flujo de aprobación:
  • Si se aprueba, el flujo de trabajo crea un boleto de servicio de servicio
  • Si se niega, el flujo de trabajo registra la decisión sin crear un boleto

Configuración del flujo de trabajo-guía paso a paso

El formulario de registro de la edición comunitaria de Tines

1. Inicie sesión en Tines o crear una nueva cuenta.

2. Navegue a El flujo de trabajo preconstruido en la biblioteca. Seleccione importar. Esto debería llevarlo directamente a su nuevo flujo de trabajo preconstruido.

El flujo de trabajo en el lienzo de arrastre y saliva de Tines
Agregar una nueva credencial en Tines

3. Configure sus credenciales

Necesitará tres credenciales agregadas a su inquilino Tines:

  • Crowdstrike
  • Servicenow
  • Flojo

Tenga en cuenta que también se pueden usar servicios similares a los mencionados anteriormente, con algunos ajustes al flujo de trabajo.

Desde la página de credenciales, seleccione una nueva credencial, desplácese hacia abajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales CrowdStrike, ServiceNow y Slack en Expladed.tines.com si necesita ayuda.

4. Configure sus acciones.

  • Establezca el canal Slack para las notificaciones de asesoramiento (slack_channel_vuln_advisory recurso).
  • Establezca los detalles del boleto de su servicio en el ticket Crear en la acción ServiceNow (por ejemplo, prioridad, grupo de asignación).
  • Ajuste las reglas de filtrado de proveedores si es necesario para que coincida con las prioridades de su organización.
LEER  La herramienta masiva de China extrae secretamente SMS, datos GPS e imágenes de teléfonos confiscados

5. Pruebe el flujo de trabajo.

Activar una prueba sacando avisos recientes de CISA y verifique que:

  • Se envían notificaciones flojas con formateo correcto
  • Los botones de aprobación funcionan como se esperaba
  • Los boletos de ServiceNow se crean correctamente al aprobar

6. Publicar y operacionalizar

Una vez probado, publique el flujo de trabajo. Comparta el canal Slack con su equipo para comenzar a revisar y aprobar los avisos de manera eficiente.

Si desea probar este flujo de trabajo, puede registrarse para obtener una cuenta de Tines gratuita.

spot_img
Artículo anterior
Las ganancias de belleza de Estée Lauder no pueden compensar los vientos en contra globales, dice el analista
Artículo siguiente
«Atmósfera esperanzadora»: el Vaticano continúa encontrándose frente al cardenal

En Actualidadmundial, nos apasiona informar con veracidad, precisión y rapidez. Nuestro objetivo es mantener a nuestra audiencia al día con los acontecimientos más relevantes a nivel global. Creemos que la información es una herramienta poderosa que permite tomar mejores decisiones y entender el mundo en constante evolución.

Últimas noticias

Temas

© 2025 Todos los derechos reservados | Desarrollado por Actualidadmundial