Tines’ta Yapay Zeka ile CrowdStrike RFM Raporu Nasıl Oluşturulur

Orkestrasyon, yapay zeka ve otomasyon platformu Tines ekibi tarafından yönetilen Tines kütüphanesi, topluluk genelindeki gerçek güvenlik uygulayıcıları tarafından paylaşılan önceden oluşturulmuş iş akışlarını içerir ve bunların tümü, Topluluk Sürümü platformun.

İki yılda bir düzenlenen “Tines’la Ne Yaptın ?!” Yarışma, kullanıcıları tarafından gönderilen en ilginç iş akışlarından bazılarını öne çıkarıyor; bunların birçoğu, güvenlik operasyonlarındaki karmaşık zorlukların üstesinden gelmek için büyük dil modellerinin (LLM’ler) pratik uygulamalarını gösteriyor.

Yakın zamanda kazananlardan biri, CrowdStrike RFM raporlamasını otomatikleştirmek için tasarlanmış bir iş akışıdır. British Columbia Üniversitesi’nde güvenlik analisti olan Tom Power tarafından geliştirilen bu yazılım, manuel raporlamaya harcanan zamanı azaltmak için orkestrasyon, yapay zeka ve otomasyonu kullanıyor.

Burada, iş akışına genel bir bakışın yanı sıra, iş akışının başlatılması ve çalıştırılması için adım adım bir kılavuz paylaşacağız.

Sorun, zaman alıcı raporlama

İş akışının oluşturucusu Tom Power şöyle açıklıyor: “CrowdStrike Falcon sensörü, genellikle işletim sistemi (OS) veya çekirdek sürümünün sensörün çekirdek modunda destekleyemeyeceği kadar eski veya çok yeni olması nedeniyle Azaltılmış İşlevsellik Moduna (RFM) giriyor. Haftada, SecOps Falcon konsolunda oturum açacak ve geçen hafta RFM’deki uç noktalar için ana bilgisayar yönetim konsolunu filtreleyecekti. Raporu oluşturup indirecektik.”

Bu süreç, özellikle Linux uç noktaları için RFM’ye neden olan çekirdek güncellemelerini belirlemek için kritik veriler sağladı. Ancak ekibin CrowdStrike’ın en son çekirdek güncellemeleriyle uyumlu yeni bir sensör sürümü yayınlayıp yayınlamadığını manuel olarak kontrol etmesi gerekiyordu.

Tom, “Tüm süreç her hafta yaklaşık 30 dakika sürdü” diye ekliyor. “Bir yıl boyunca bu, diğer siber güvenlik önceliklerine harcayabileceğimiz 25 saatten fazla zaman anlamına geliyordu.”

Çözüm: Yapay zeka ile otomatik RFM raporlaması

Tom’un iş akışı, Falcon Sensor RFM’nin ana bilgisayarlar arasında izlenmesini ve raporlanmasını otomatikleştirir. Tines’ın AI odaklı Otomatik Modundan yararlanarak rapor oluşturmayı kolaylaştırmak için özel kod üretir. İş akışı yalnızca düzenli ve tutarlı raporlar üretmekle kalmaz, aynı zamanda yönetimin RFM oluşumlarındaki eğilimleri izlemesine olanak tanıyarak proaktif sistem durumu yönetimini ve daha hızlı karar almayı destekler.

Otomatik iş akışı, analistlerin basit bir web formu aracılığıyla istekleri göndermesine olanak tanıyarak manuel raporlama ihtiyacını ortadan kaldırır. İş akışı, birkaç dakika içinde verileri alır, işler ve ayrıntılı bilgiler ve CSV ekiyle tamamlanan eyleme dönüştürülebilir bir e-posta raporu sunar.

Örnek çıktı:

Ekibin aldığı otomatik olarak oluşturulan e-posta ve raporun bir örneğini burada bulabilirsiniz:

Bu iş akışını kullanmanın temel faydalarından bazıları şunlardır:

• Analistlerin yüksek öncelikli siber güvenlik görevlerine odaklanmalarını sağlar.
• Manüel çabayı ve insan hatası olasılığını azaltır.
• Daha fazla üretkenlik için tutarlı, güvenilir raporlar sunar.
• Gerçek zamanlı bilgiler sağlayarak karar almayı geliştirir.
• Sıkıcı ve tekrarlayan bir görevi ortadan kaldırarak morali artırır.

İş akışına genel bakış

Kullanılan araçlar:

• Tines – güvenlik ekipleri arasında popüler olan bir iş akışı orkestrasyonu, yapay zeka ve otomasyon platformu. Ücretli bir hesabınız yoksa bu iş akışını oluşturmak ve çalıştırmak için Tines’ın ücretsiz Topluluk Sürümü’nü kullanmak mümkündür. Kiracınızda AI etkinleştirilmelidir.
• CrowdStrike – uç nokta algılama ve yanıt (EDR) platformu. Bu iş akışı, Azaltılmış İşlevsellik Modundaki (RFM) uç noktalar hakkındaki verileri almak için CrowdStrike Falcon’un API’siyle entegre olur. Falcon güçlü uç nokta görünürlüğü sağlarken yinelenen RFM raporları için yerel otomasyondan yoksundur.

Bir web formu gönderildiğinde iş akışı başlatılır ve CrowdStrike RFM raporları oluşturma süreci tetiklenir.

İlk eylem, CrowdStrike Falcon’un API’sinden cihaz kimliklerinin bir listesini alır. Liste, CrowdStrike’ın ilk grupta döndürdüğünden daha büyükse, tam listeyi sayfalara ayırmak için birden fazla çağrı yapılır.

Tüm cihaz ayrıntıları alındıktan sonra iş akışı bunları tek bir kaynakta birleştirir. Bu kaynak, Linux, Windows ve Mac ana bilgisayarlarının sayısının hesaplandığı ve verilere eklendiği analiz için temel görevi görür.

İş akışı, birleştirilmiş kaynağı kullanarak verileri yapılandırılmış bir formatta sunmak için bir HTML özet tablosu oluşturur. Bu tablo daha sonra CSV dosyasına dönüştürülerek raporlama amaçlarına uygun hale getirilir.

CSV raporu, incelenmek üzere paydaşlara e-postayla gönderilir. Verimliliği ve veri hijyenini korumak için iş akışı, e-posta gönderildikten sonra geçici kaynağı temizleyerek bir sonraki döngüye hazır olmasını sağlar.

İş akışı, bu adımları otomatikleştirerek manuel çabayı ortadan kaldırır, hata riskini azaltır ve ortam genelinde azaltılmış işlevsellik modundaki cihazlar hakkında tutarlı, güncel raporlama sağlar.

İş akışını yapılandırma – adım adım kılavuz

1. Tines’ta oturum açın veya yeni bir hesap oluşturun.
2. Kiracınızda AI’nın etkinleştirildiğinden emin olun. Bunun için kiracı sahibi olmanız gerekmektedir. Ekranınızın sol üst köşesindeki hesap ayarları açılır menüsünü seçin ve AI’yi açmak için kutuyu işaretleyin.

3. CrowdStrike kimlik bilgilerinizi oluşturun. Kimlik bilgileri sayfasından Yeni kimlik bilgileri’ni seçin, CrowdStrike kimlik bilgilerine doğru aşağı kaydırın ve gerekli alanları doldurun.

4. Şuraya gidin: kütüphanede önceden oluşturulmuş iş akışı.

5. İçe aktarmayı seçin. Bu sizi doğrudan yeni önceden oluşturulmuş iş akışınıza yönlendirecektir.

6. Eylemlerinizi yapılandırın. Örneğin, iş akışını başlatan Tines sayfasının düzenini düzenlemek isteyebilirsiniz.
7. İş akışını test edin. İş akışınızı test etmek için form aracılığıyla bir resim gönderin.
8. İş akışınızı yayınlayın ve Sayfa URL’sini istediğiniz kullanıcılarla paylaşın.

Diğer otomasyon platformlarında oluşturma

Benzer bir hizmet oluşturmak için başka bir kodsuz otomasyon platformu kullanabilirsiniz; ancak bu iş akışındaki bazı özelliklerin Tines’a özgü olduğunu belirtmekte fayda var:

• Sayfalar: Bu iş akışı, bir web sayfasındaki formun gönderilmesiyle başlatılır. Bu, Tines’ın Sayfaları özelliği kullanılarak oluşturulmuştur.
  • Alternatif: İş akışını başlatmak için zamanlanmış bir tetikleyici kullanın.
• Otomatik Modda Olay Dönüşümü: Bu özellik, derleyicinin sağladığı rehberliğe ve girdiye göre Python kodunu oluşturmak için derleme zamanı yapay zekasını kullanır. Değişikliklerinizi kaydettiğinizde kod yerine kilitlenir. Bu, eylem çalıştırıldığında yalnızca kodun yürütüleceği ve hiçbir yapay zekanın dahil olmadığı anlamına gelir.
  • Alternatif: Verilerinizi dönüştürmek için Python kodunu manuel olarak yazın.

Tines’ta yapay zekayı kendiniz keşfetmek veya bu iş akışını test etmek istiyorsanız ücretsiz hesap AI işlevselliği dahil.