As equipes de segurança geralmente são sobrecarregadas com alertas diários, incluindo falsos positivos e ações que exigem atenção, mas podem ser colocadas em segundo plano. Mas quando os alertas começam a se acumular e não são resolvidos prontamente, importantes preocupações de segurança podem passar despercebidas e podem se transformar em uma violação de dados. O tempo para detectar e responder a incidentes de segurança deve ser o mais curto possível para limitar o tempo que um invasor pode realizar um ataque.
Uma solução, a automação de resposta a incidentes, permite que as equipes de segurança reduzam o tempo gasto em medidas de resposta padrão e repetitivas e dediquem mais tempo para abordar questões de segurança oportunas. Neste post, veremos como o Log360 ajuda a equipe de segurança de TI a obter respostas automatizadas a incidentes. Para demonstrar, usaremos o cenário de um simples ataque de força bruta na rede.
Aqui estão as cinco etapas para automatizar os processos de resposta a incidentes no Log360:
-
Crie uma regra de correlação para detectar automaticamente o padrão e acionar um alerta.
-
Crie um fluxo de trabalho personalizado para automatizar a sequência de etapas para iniciar uma ação de resposta ao alerta.
-
Atualize o perfil de alerta de correlação para mapear a regra de correlação com o fluxo de trabalho de resposta.
- Defina uma regra de incidente para criar automaticamente um incidente para o alerta e atribua-o ao técnico apropriado.
- Gerencie tickets com eficiência criando tickets para investigação adicional por meio de integrações com terceiros ou ferramentas de suporte técnico.
1. Criar uma regra de correlação
Na guia de correlação, você pode criar uma regra de correlação para detectar um ataque de força bruta especificando ações de rede e níveis de limite. Na imagem abaixo, definimos a regra assumindo que um padrão de ataque de força bruta consiste em várias tentativas de logon malsucedidas (Ação 1) seguidas por um logon bem-sucedido (Ação 2). A duração e a frequência da ação são especificadas pelo limite limite.
Uma solução SIEM eficaz com um mecanismo de correlação deve permitir ações personalizadas e fornecer uma ampla variedade de ações predefinidas.
Esta é uma captura de tela do recurso de criação de regra de correlação no Log360.
2. Crie o fluxo de trabalho
Na guia Alertas, você pode criar o fluxo de trabalho de resposta para um alerta de ataque de força bruta selecionando Criar novo fluxo de trabalho. O construtor visual permite criar a ação de resposta com uma opção fácil de arrastar e soltar.
Primeiro, faça logoff do dispositivo. Em seguida, desative o usuário. Quando bem-sucedido, um SMS é enviado para notificar o usuário. Se a desativação do usuário não for bem-sucedida, um alerta de lógica de decisão notificará o administrador de TI.
Esta é uma captura de tela do construtor de fluxo de trabalho no Log360.
3. Atualizar o perfil de alerta de correlação
Na seção gerenciar perfil na guia Alertas, você encontrará o perfil de alerta de correlação que criamos na etapa 1. Agora você pode atualizar o perfil de alerta atribuindo o fluxo de trabalho de resposta e definindo a gravidade.
Esta imagem mostra como você habilita o fluxo de trabalho para o perfil de alerta de correlação.
4. Definir uma regra de incidente
Usando regras de incidentes, você pode criar incidentes automaticamente assim que um perfil de alerta for acionado. A seção de incidentes permite que você gerencie alertas com mais eficiência, alocando a gravidade dos incidentes, monitorando seu tempo e status e designando a pessoa apropriada para fechamento e investigação.
Esta imagem mostra como você pode criar uma regra de incidente para um perfil de alerta.
5. Gerencie os tickets com eficiência
Você pode criar tíquetes externos automaticamente para o perfil de alerta desejado integrando-se às ferramentas de ticket ou suporte técnico. Os detalhes do alerta são encaminhados à ferramenta para que o técnico designado em sua organização possa investigar mais conforme necessário.
Esta captura de tela mostra como criar tickets automáticos para perfis de alerta usando o Log360.
Para entender facilmente o processo de resposta automatizada a incidentes, usamos um caso de uso simples de um ataque de força bruta. No entanto, você pode criar regras de correlação e fluxos de trabalho personalizados para detectar e responder a ataques cibernéticos complexos.
Conclusão
Com o recurso de resposta a incidentes do Log360, os SOCs podem correlacionar automaticamente eventos suspeitos, priorizar alertas com base na gravidade, acionar a primeira linha de defesa com fluxos de trabalho de resposta automatizados e gerenciar incidentes de forma centralizada.
Interessado em uma demonstração personalizada do produto? Clique aqui. Quer experimentar o produto? Confira o teste gratuito de 30 dias.
Esse post foi traduzido do nosso blog em inglês, e sua autoria original é de Varun K.
