Dirigido por el equipo en la orquestación de flujo de trabajo y la plataforma de IA Tines, la biblioteca de Tines presenta flujos de trabajo previos a la construcción compartidos por profesionales de seguridad de toda la comunidad, todo libre de importar e implementar a través de la plataforma Edición comunitaria.
Un destacado reciente es un flujo de trabajo que automatiza el monitoreo de los avisos de seguridad de CISA y otros proveedores, enriquece los avisos con la inteligencia de amenazas de crowdstrike y optimiza la creación y notificación de boletos. Desarrollado por Josh McLaughlin, ingeniero de seguridad de LivePerson, el flujo de trabajo reduce drásticamente el trabajo manual mientras mantiene a los analistas en control de las decisiones finales, ayudando a los equipos a mantenerse al tanto de las nuevas vulnerabilidades.
“Antes de la automatización, crear boletos para 45 vulnerabilidades tomó unos 150 minutos de trabajo”, explica Josh. “Después de la automatización, el tiempo necesario para el mismo número de boletos cayó a alrededor de 60 minutos, ahorrando un tiempo significativo y liberando a los analistas de tareas manuales como la copia y la navegación web”. El equipo de seguridad de LivePerson redujo el tiempo que lleva este proceso en un 60% a través de la automatización y la orquestación, creando un gran impulso tanto para la eficiencia como para la moral del analista.
En esta guía, compartiremos una descripción general del flujo de trabajo, más instrucciones paso a paso para ponerlo en funcionamiento.
El problema: seguimiento manual de avisos críticos
Para los equipos de seguridad, la conciencia oportuna de las vulnerabilidades recientemente reveladas es esencial, pero el monitoreo de múltiples fuentes, enriqueciendo los avisos con inteligencia de amenazas y la creación de boletos para la remediación son tareas que requieren mucho tiempo y son tareas propensas a errores.
Los equipos a menudo tienen que:
- Consulte manualmente CISA y otras fuentes para obtener avisos
- CVES relacionados con la investigación
- Decide si se necesita acción
- Crear manualmente boletos y notificar a las partes interesadas
Estos pasos repetitivos no solo consumen un valioso tiempo de analista, sino que también corren el riesgo de respuestas inconsistentes si se pierde o retrasa una vulnerabilidad importante.
La solución: monitoreo automatizado, enriquecimiento y boleto
El flujo de trabajo preconstruido de Josh automatiza el proceso de extremo a extremo, pero de manera crucial, mantiene a los analistas en control en los puntos de decisión clave:
- Extrae nuevos avisos de CISA (o una alimentación de código abierto elegido)
- Enriquece los hallazgos utilizando la inteligencia de amenazas de CrowdStrike
- Notifica al equipo de seguridad en Slack y les pide que proporcionen información rápidamente a través de los botones de aprobación y negar
- Tras la aprobación, crea automáticamente un boleto de servicio con los detalles de la vulnerabilidad.
El resultado es un proceso simplificado y eficiente que garantiza que las vulnerabilidades se rastreen y sean actuadas rápidamente, sin sacrificar el pensamiento crítico y la priorización que solo los analistas pueden proporcionar.
Beneficios clave de este flujo de trabajo:
- Reduce el esfuerzo manual y acelera el tiempo de respuesta
- Aprovecha la inteligencia de amenazas para una priorización más inteligente
- Asegura un manejo constante de nuevas vulnerabilidades
- Fortalece la colaboración entre los equipos de seguridad y de TI
- Aumenta la moral eliminando tareas tediosas
- Mantiene a los analistas en control con aprobaciones fáciles y rápidas
Descripción general del flujo de trabajo
Herramientas utilizadas:
- Tines – Orquestación de flujo de trabajo y plataforma de IA (edición comunitaria disponible)
- Crowdstrike – Plataforma de inteligencia de amenazas y EDR
- ServiceNow – Ticketing y la plataforma ITSM
- Slack – Plataforma de colaboración del equipo
Cómo funciona:
- Colección RSS Feed: obtiene los últimos avisos de la feed RSS de CISA
- Deduplicación: Filtra los avisos duplicados
- Filtrado de proveedores: se centra en los avisos de proveedores y servicios clave (por ejemplo, Microsoft, Citrix, Google, Atlassian).
- Extracción de CVE: identifica las CVE de las descripciones de asesoramiento
- Enriquecimiento: referencias cruzadas CVE con crowdstrike inteligencia de amenaza para un contexto adicional
- Notificación de Slack: envía una vulnerabilidad enriquecida con botones de acción a un canal de holgura dedicado
- Flujo de aprobación:
- Si se aprueba, el flujo de trabajo crea un boleto de servicio de servicio
- Si se niega, el flujo de trabajo registra la decisión sin crear un boleto
Configuración del flujo de trabajo-guía paso a paso
 |
| El formulario de registro de la edición comunitaria de Tines |
1. Inicie sesión en Tines o crear una nueva cuenta.
2. Navegue a el flujo de trabajo preconstruido en la biblioteca. Seleccione importar. Esto debería llevarlo directamente a su nuevo flujo de trabajo preconstruido.
 |
| El flujo de trabajo en el lienzo de arrastre y saliva de Tines |
 |
| Agregar una nueva credencial en Tines |
3. Configure sus credenciales
Necesitará tres credenciales agregadas a su inquilino Tines:
- Crowdstrike
- Servicenow
- Flojo
Tenga en cuenta que también se pueden usar servicios similares a los mencionados anteriormente, con algunos ajustes al flujo de trabajo.
Desde la página de credenciales, seleccione una nueva credencial, desplácese hacia abajo a la credencial relevante y complete los campos requeridos. Siga las guías de credenciales CrowdStrike, ServiceNow y Slack en Expladed.tines.com si necesita ayuda.
4. Configure sus acciones.
- Establezca el canal Slack para las notificaciones de asesoramiento (slack_channel_vuln_advisory recurso).
- Establezca los detalles del boleto de su servicio en el ticket Crear en la acción ServiceNow (por ejemplo, prioridad, grupo de asignación).
- Ajuste las reglas de filtrado de proveedores si es necesario para que coincida con las prioridades de su organización.
5. Pruebe el flujo de trabajo.
Activar una prueba sacando avisos recientes de CISA y verifique que:
- Se envían notificaciones flojas con formateo correcto
- Los botones de aprobación funcionan como se esperaba
- Los boletos de ServiceNow se crean correctamente al aprobar
6. Publicar y operacionalizar
Una vez probado, publique el flujo de trabajo. Comparta el canal Slack con su equipo para comenzar a revisar y aprobar los avisos de manera eficiente.
Si desea probar este flujo de trabajo, puede registrarse para un cuenta de dientes gratis.
About the Author
