Dirigida por el equipo de la plataforma de orquestaci\u00f3n, inteligencia artificial y automatizaci\u00f3n Tines, la biblioteca Tines contiene flujos de trabajo predise\u00f1ados compartidos por profesionales de seguridad reales de toda la comunidad, todos los cuales se pueden importar e implementar de forma gratuita a trav\u00e9s de Edici\u00f3n comunitaria<\/a> de la plataforma. <\/p>\n Su publicaci\u00f3n bianual “\u00bfHiciste qu\u00e9 con Tines?” La competencia destaca algunos de los flujos de trabajo m\u00e1s interesantes presentados por sus usuarios, muchos de los cuales demuestran aplicaciones pr\u00e1cticas de grandes modelos de lenguaje (LLM) para abordar desaf\u00edos complejos en operaciones de seguridad.<\/p>\n Un ganador reciente es un flujo de trabajo dise\u00f1ado para automatizar los informes de CrowdStrike RFM. Desarrollado por Tom Power, analista de seguridad de la Universidad de Columbia Brit\u00e1nica, utiliza orquestaci\u00f3n, inteligencia artificial y automatizaci\u00f3n para reducir el tiempo dedicado a los informes manuales.<\/p>\n Aqu\u00ed, compartiremos una descripci\u00f3n general del flujo de trabajo, adem\u00e1s de una gu\u00eda paso a paso para ponerlo en funcionamiento.<\/p>\n El creador del flujo de trabajo, Tom Power, explica: “El sensor CrowdStrike Falcon entra en modo de funcionalidad reducida (RFM), generalmente porque el sistema operativo (OS) o la versi\u00f3n del kernel es demasiado antiguo o demasiado nuevo para que el sensor lo admita en modo kernel. Cada semana, SecOps iniciar\u00eda sesi\u00f3n en la consola Falcon y filtrar\u00eda la consola de administraci\u00f3n del host para los puntos finales en RFM durante la \u00faltima semana. Generar\u00edamos el informe y lo descargar\u00edamos”.<\/p>\n Este proceso proporcion\u00f3 datos cr\u00edticos para identificar las actualizaciones del kernel que causan RFM, particularmente para los puntos finales de Linux. Sin embargo, requiri\u00f3 que el equipo verificara manualmente si CrowdStrike hab\u00eda lanzado una nueva versi\u00f3n del sensor compatible con las \u00faltimas actualizaciones del kernel.<\/p>\n “Todo el proceso tom\u00f3 unos 30 minutos cada semana”, a\u00f1ade Tom. “En el transcurso de un a\u00f1o, eso sum\u00f3 m\u00e1s de 25 horas de tiempo que podr\u00edamos haber dedicado a otras prioridades de ciberseguridad”.<\/p>\n El flujo de trabajo de Tom automatiza el seguimiento y la generaci\u00f3n de informes de Falcon Sensor RFM en todos los hosts. Al aprovechar el modo autom\u00e1tico impulsado por IA de Tines, genera c\u00f3digo personalizado para agilizar la creaci\u00f3n de informes. El flujo de trabajo no solo produce informes regulares y consistentes, sino que tambi\u00e9n permite a la administraci\u00f3n monitorear las tendencias en las ocurrencias de RFM, respaldando la administraci\u00f3n proactiva del estado del sistema y una toma de decisiones m\u00e1s r\u00e1pida.<\/p>\n El flujo de trabajo automatizado elimina la necesidad de generar informes manuales al permitir a los analistas enviar solicitudes a trav\u00e9s de un sencillo formulario web. En cuesti\u00f3n de minutos, el flujo de trabajo recupera datos, los procesa y entrega un informe por correo electr\u00f3nico procesable, completo con informaci\u00f3n detallada y un archivo adjunto CSV.<\/p>\n Aqu\u00ed hay una muestra del correo electr\u00f3nico generado autom\u00e1ticamente y el informe recibido por el equipo:<\/p>\n Estos son algunos de los beneficios clave de utilizar este flujo de trabajo:<\/p>\n Herramientas utilizadas:<\/p>\n El flujo de trabajo se inicia cuando se env\u00eda un formulario web, lo que activa el proceso para generar informes CrowdStrike RFM.<\/p>\n La primera acci\u00f3n recupera una lista de ID de dispositivos de la API de CrowdStrike Falcon. Si la lista es mayor que lo que CrowdStrike devuelve en el primer lote, se realizan varias llamadas para paginar la lista completa.<\/p>\n Una vez que se recuperan todos los detalles del dispositivo, el flujo de trabajo los consolida en un \u00fanico recurso. Este recurso act\u00faa como base para el an\u00e1lisis, donde la cantidad de hosts Linux, Windows y Mac se calcula y se adjunta a los datos.<\/p>\n Utilizando el recurso consolidado, el flujo de trabajo genera una tabla de resumen HTML para presentar los datos en un formato estructurado. Luego, esta tabla se convierte en un archivo CSV, lo que la hace adecuada para fines de generaci\u00f3n de informes.<\/p>\n El informe CSV se env\u00eda por correo electr\u00f3nico a las partes interesadas para su revisi\u00f3n. Para mantener la eficiencia y la higiene de los datos, el flujo de trabajo purga el recurso temporal despu\u00e9s de enviar el correo electr\u00f3nico, asegurando que est\u00e9 listo para el siguiente ciclo.<\/p>\n Al automatizar estos pasos, el flujo de trabajo elimina el esfuerzo manual, reduce el riesgo de errores y proporciona informes consistentes y actualizados sobre dispositivos en modo de funcionalidad reducida en todo el entorno.<\/p>\n Podr\u00edas usar otra plataforma de automatizaci\u00f3n sin c\u00f3digo para crear un servicio similar, aunque vale la pena se\u00f1alar que algunas de las caracter\u00edsticas de este flujo de trabajo son exclusivas de Tines:<\/p>\n Si desea explorar la IA en Tines usted mismo o probar este flujo de trabajo, puede registrarse para obtener un cuenta gratis<\/a> incluida la funcionalidad de IA.<\/p>\n <\/p>\nEl problema: informes que consumen mucho tiempo<\/h2>\n
La soluci\u00f3n: informes RFM automatizados con IA<\/h2>\n
![\"Informe](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Como-generar-un-informe-RFM-de-CrowdStrike-con-IA-en.png\" "\\"Informe")
<\/a><\/div>\nSalida de ejemplo:<\/strong><\/h4>\n
<\/a><\/div>\n<\/a><\/div>\n\n
<\/a><\/div>\nDescripci\u00f3n general del flujo de trabajo<\/h2>\n
\n
Configuraci\u00f3n del flujo de trabajo: gu\u00eda paso a paso <\/h2>\n
<\/a><\/div>\n\n
<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\nIncorporaci\u00f3n de otras plataformas de automatizaci\u00f3n<\/h2>\n
\n
\n
\n