TINS库由Workflow编排和AI平台TINES的团队运营,具有1,000多个由安全从业人员共享的预先构建的工作流程 - 所有人都可以免费进口和通过平台的部署社区版。
我们正在突出显示的工作流程通过自动识别和执行Confluence的适当标准操作程序(SOP)来简化安全警报处理。当警报触发时,AI代理人会分析,找到相关的SOP并执行所需的补救步骤 - 同时使呼叫团队通过Slack通知。
它是由TINES安全研究员Michael Tolan和Tines的高级解决方案工程师Peter Wrenn创建的。
在本指南中,我们将分享工作流程的概述,以及逐步说明,以启动和运行。
问题 - 手动警报分类和SOP执行
对于安全团队,有效响应警报需要快速识别威胁类型,找到适当的SOP并执行所需的补救步骤。
从工作流的角度来看,团队通常必须:
- 手动分析传入的安全警报
- 搜索汇合处寻找相关的SOP
- 案例管理系统中的记录发现和行动
- 在不同的安全工具上执行多个补救步骤
- 事后再次更新案例管理系统
- 通知利益相关者有关事件和行动
此手动过程是耗时的,容易出现人为错误,并可能导致对类似警报的处理不一致。
解决方案 - AI驱动的警报分流器具有自动SOP执行
此预先构建的工作流可以通过利用AI代理和汇合SOP来自动化整个警报分类过程。工作流程可帮助安全团队的响应速度更快,更稳定:
- 使用AI分析和分类传入警报
- 自动在汇合处找到相关的SOP
- 创建用于跟踪的结构化案例记录
- 部署第二个AI代理(子代理)来执行补救步骤
- 记录所有动作并通过Slack通知呼叫团队
结果是对安全警报的简化响应,该响应可确保按照既定程序确保一致的处理。
此工作流的关键好处
- 减少平均修复时间(MTTR)
- 安全程序的一致应用
- 所有采取的行动的全面文件
- 重复任务减少了分析师的疲劳
- 通过自动通知提高了可见性
工作流程概述
使用的工具:
- TINES-工作流编排和AI平台(免费社区版)
- 汇合处 - SOP的知识管理平台
这个特定的工作流程也用途以下软件。但是,您可以使用任何富集/修复目前的工具存在您的技术与尖齿和汇合在一起。
- CrowdStrike-威胁情报和EDR平台
- Baushipdb -IP声誉数据库
- 电子邮件 - 电子邮件信誉服务
- OKTA-身份和访问管理
- Slack-团队协作平台
- Tavily -AI研究工具
- URLSCAN.IO- URL分析服务
- Virustotal-文件和URL扫描服务
它如何工作
第1部分:警报摄入和分析
- 从集成安全工具接收安全警报
- AI代理分析警报以确定类型和严重性
- 系统搜索基于警报分类的相关SOP汇合
- 创建带有警报详细信息并确定SOP的案例记录
第2部分:修复和文档
- 第二个AI代理审查案件和SOP说明
- AI代理商在适当的安全工具上精心策划补救措施
- 所有动作都记录在案例历史记录中
- Slack Notification已发送给通知团队,并采取了警报详细信息和操作
配置工作流程 - 逐步指南
1。登录到尖齿或创建一个新帐户。
2。导航到预先构建的工作流程在图书馆。选择导入。
3。设置您的凭据
您需要用于此工作流中使用的所有工具的凭证。您可以添加或删除想要适合环境的任何工具。
- 合流
- Crowdstrike
- Baushipdb
- 电子邮件
- Okta
- 松弛
- 坦率
- urlscan.io
- 病毒
从凭据页面中,选择新的凭据,向下滚动到相关的凭据并完成所需的字段。遵循证书指南解释了.tines.com如果您需要帮助。
4。配置您的操作。
设置您的环境变量。在此特定的工作流程中,特别需要设置通知的Slack通道(默认情况下为#Alerts进行了硬编码,但可以在Slack Action中进行调整)。
5。自定义AI提示
工作流程包括两个关键的AI代理:
- 警报分析代理:自定义提示以帮助识别警报类型
- 补救剂:自定义提示指导补救措施
6。测试工作流程。
创建一个测试警报以验证:
- 警报已正确分类
- 从汇合处检索正确的SOP
- 案例是有适当详细信息的
- 执行修复步骤
- 发送通知已发送
7。发布和运营
测试后,发布工作流程并与您的安全工具集成以开始接收实时警报。
如果您想测试此工作流,可以注册免费的TINES帐户。
发现这篇文章很有趣?本文是我们一位尊贵合作伙伴之一的贡献。跟随我们Google新闻,,,,叽叽喳喳和LinkedIn要阅读更多独家内容,我们发布的内容。