Cómo generar un informe RFM de CrowdStrike con IA en dientes

Dirigida por el equipo de la plataforma de orquestación, inteligencia artificial y automatización Tines, la biblioteca Tines contiene flujos de trabajo prediseñados compartidos por profesionales de seguridad reales de toda la comunidad, todos los cuales se pueden importar e implementar de forma gratuita a través de Edición comunitaria de la plataforma.

Su publicación bianual “¿Hiciste qué con Tines?” La competencia destaca algunos de los flujos de trabajo más interesantes presentados por sus usuarios, muchos de los cuales demuestran aplicaciones prácticas de grandes modelos de lenguaje (LLM) para abordar desafíos complejos en operaciones de seguridad.

Un ganador reciente es un flujo de trabajo diseñado para automatizar los informes de CrowdStrike RFM. Desarrollado por Tom Power, analista de seguridad de la Universidad de Columbia Británica, utiliza orquestación, inteligencia artificial y automatización para reducir el tiempo dedicado a los informes manuales.

Aquí, compartiremos una descripción general del flujo de trabajo, además de una guía paso a paso para ponerlo en funcionamiento.

El problema: informes que consumen mucho tiempo

El creador del flujo de trabajo, Tom Power, explica: “El sensor CrowdStrike Falcon entra en modo de funcionalidad reducida (RFM), generalmente porque el sistema operativo (OS) o la versión del kernel es demasiado antiguo o demasiado nuevo para que el sensor lo admita en modo kernel. Cada semana, SecOps iniciaría sesión en la consola Falcon y filtraría la consola de administración del host para los puntos finales en RFM durante la última semana. Generaríamos el informe y lo descargaríamos”.

Este proceso proporcionó datos críticos para identificar las actualizaciones del kernel que causan RFM, particularmente para los puntos finales de Linux. Sin embargo, requirió que el equipo verificara manualmente si CrowdStrike había lanzado una nueva versión del sensor compatible con las últimas actualizaciones del kernel.

“Todo el proceso tomó unos 30 minutos cada semana”, añade Tom. “En el transcurso de un año, eso sumó más de 25 horas de tiempo que podríamos haber dedicado a otras prioridades de ciberseguridad”.

La solución: informes RFM automatizados con IA

El flujo de trabajo de Tom automatiza el seguimiento y la generación de informes de Falcon Sensor RFM en todos los hosts. Al aprovechar el modo automático impulsado por IA de Tines, genera código personalizado para agilizar la creación de informes. El flujo de trabajo no solo produce informes regulares y consistentes, sino que también permite a la administración monitorear las tendencias en las ocurrencias de RFM, respaldando la administración proactiva del estado del sistema y una toma de decisiones más rápida.

El flujo de trabajo automatizado elimina la necesidad de generar informes manuales al permitir a los analistas enviar solicitudes a través de un sencillo formulario web. En cuestión de minutos, el flujo de trabajo recupera datos, los procesa y entrega un informe por correo electrónico procesable, completo con información detallada y un archivo adjunto CSV.

Salida de ejemplo:

Aquí hay una muestra del correo electrónico generado automáticamente y el informe recibido por el equipo:

Estos son algunos de los beneficios clave de utilizar este flujo de trabajo:

• Libera a los analistas para que puedan centrarse en tareas de ciberseguridad de alta prioridad.
• Reduce el esfuerzo manual y el potencial de error humano.
• Ofrece informes consistentes y confiables para mejorar la productividad.
• Mejora la toma de decisiones al proporcionar información en tiempo real.
• Aumenta la moral al eliminar una tarea tediosa y repetitiva.

Descripción general del flujo de trabajo

Herramientas utilizadas:

• Tines: una plataforma de automatización, inteligencia artificial y orquestación del flujo de trabajo que es popular entre los equipos de seguridad. Es posible utilizar la edición comunitaria gratuita de Tines para crear y ejecutar este flujo de trabajo si no tiene una cuenta paga. La IA debe estar habilitada en su inquilino.
• CrowdStrike: plataforma de respuesta y detección de endpoints (EDR). Este flujo de trabajo se integra con la API de CrowdStrike Falcon para recuperar datos sobre puntos finales en modo de funcionalidad reducida (RFM). Si bien Falcon proporciona una sólida visibilidad de los terminales, carece de automatización nativa para los informes RFM recurrentes.

El flujo de trabajo se inicia cuando se envía un formulario web, lo que activa el proceso para generar informes CrowdStrike RFM.

La primera acción recupera una lista de ID de dispositivos de la API de CrowdStrike Falcon. Si la lista es mayor que lo que CrowdStrike devuelve en el primer lote, se realizan varias llamadas para paginar la lista completa.

Una vez que se recuperan todos los detalles del dispositivo, el flujo de trabajo los consolida en un único recurso. Este recurso actúa como base para el análisis, donde la cantidad de hosts Linux, Windows y Mac se calcula y se adjunta a los datos.

Utilizando el recurso consolidado, el flujo de trabajo genera una tabla de resumen HTML para presentar los datos en un formato estructurado. Luego, esta tabla se convierte en un archivo CSV, lo que la hace adecuada para fines de generación de informes.

El informe CSV se envía por correo electrónico a las partes interesadas para su revisión. Para mantener la eficiencia y la higiene de los datos, el flujo de trabajo purga el recurso temporal después de enviar el correo electrónico, asegurando que esté listo para el siguiente ciclo.

Al automatizar estos pasos, el flujo de trabajo elimina el esfuerzo manual, reduce el riesgo de errores y proporciona informes consistentes y actualizados sobre dispositivos en modo de funcionalidad reducida en todo el entorno.

Configuración del flujo de trabajo: guía paso a paso

1. Inicie sesión en Tines o cree una nueva cuenta.
2. Asegúrese de que la IA esté habilitada en su inquilino. Para ello es necesario ser el propietario inquilino. Seleccione el menú desplegable de configuración de la cuenta en la parte superior izquierda de la pantalla y marque la casilla para activar la IA.

3. Crea tu credencial CrowdStrike. En la página de credenciales, seleccione Nueva credencial, desplácese hacia abajo hasta la credencial de CrowdStrike y complete los campos obligatorios.

4. Navega hasta el flujo de trabajo prediseñado en la biblioteca.

5. Seleccione importar. Esto debería llevarlo directamente a su nuevo flujo de trabajo prediseñado.

6. Configura tus acciones. Por ejemplo, es posible que desee editar el diseño de la página Tines que inicia el flujo de trabajo.
7. Pruebe el flujo de trabajo. Envíe una imagen a través del formulario para probar su flujo de trabajo.
8. Publique su flujo de trabajo y comparta la URL de la página con los usuarios que desee.

Incorporación de otras plataformas de automatización

Podrías usar otra plataforma de automatización sin código para crear un servicio similar, aunque vale la pena señalar que algunas de las características de este flujo de trabajo son exclusivas de Tines:

• Páginas: Este flujo de trabajo se inicia mediante el envío de un formulario en una página web. Esto se construye utilizando la función Páginas de Tines.
  • Alternativa: Utilice un activador programado para iniciar el flujo de trabajo.
• Transformación de eventos en modo automático: Esta característica utiliza IA en tiempo de compilación para componer código Python según la guía y la entrada que proporciona el creador. Una vez que guarde los cambios, el código quedará bloqueado en su lugar. Esto significa que cuando se ejecuta la acción, solo se ejecuta el código y no interviene ninguna IA.
  • Alternativa: Escriba código Python manualmente para transformar sus datos.

Si desea explorar la IA en Tines usted mismo o probar este flujo de trabajo, puede registrarse para obtener un cuenta gratis incluida la funcionalidad de IA.