Warum SOC Prime ein kontinuierliches Inhaltsmanagement geschaffen hat

[post-views]
Dezember 16, 2020 · 4 min zu lesen
Warum SOC Prime ein kontinuierliches Inhaltsmanagement geschaffen hat

Vor der Veröffentlichung des Continuous Content Management (CCM) Moduls mussten unsere Nutzer des Threat Detection Marketplace Inhaltsobjekte herunterladen und manuell in ihr SIEM importieren. Wir sind große Fans von Anton Chuvakin’s „Detection as Code“ Ansatz zur Bedrohungserkennung, der uns dazu gebracht hat, die Automatisierung der Bereitstellung von SOC-Inhalten zu verbessern. Dies bedeutete, das Bedrohungserkennungsverfahren zu überdenken und verbesserte Sicherheitsfunktionen zu erreichen. Jetzt, mit der Einführung von CCM, können unsere Kunden Inhaltsobjekte automatisch direkt in ihr SIEM bereitstellen, Änderungen daran vornehmen und diese Änderungen in die von Ihnen genutzte Plattform erneut bereitstellen. 

CCM ist für Microsoft Azure Sentinel und Elastic Cloud verfügbar, mit Sumo Logic und anderen cloud-nativen SIEM-Unterstützungen, die sehr bald kommen werden. Abhängig von der verwendeten SIEM-Lösung können Sie Inhalte der folgenden Typen bereitstellen: 

  • Für Azure Sentinel
    • Abfrage
    • Regel
    • Funktionen/Parser
  • Für Elastic Cloud
    • Regelalarm
    • Watcher 
    • Gespeicherte Suche

So richten Sie die Continuous Content Management-Integration ein

Bevor Sie CCM einrichten, müssen Sie die Integration für Azure Sentinel oder Elastic Cloud über die Automatisierung Seite oder Benutzereinstellungen konfigurieren:

  1. Automatisierung > Integration
  2. Benutzereinstellungen > Plattform-Integrationskonfiguration

Abhängig von der Art des Inhalts und dem SIEM müssen spezifische Systemanforderungen erfüllt werden.

Microsoft Azure Sentinel

Für die Azure Sentinel-Plattform benötigen Sie API-Zugriff auf das Azure Sentinel-Abonnement mit den entsprechenden Berechtigungen zum Lesen und Bereitstellen von Ressourcen im entsprechenden Arbeitsbereich:

  • Client-ID
  • Client-Geheimnis
  • Mandanten-ID
  • Abonnement-ID
  • Ressourcengruppe
  • Arbeitsbereich

Um diese Anmeldeinformationen zu erhalten:

  • Klicken Sie auf den Wie man Anmeldeinformationen erhält Link in der linken unteren Ecke der Plattform-Integrationskonfiguration Seite.

  • Befolgen Sie die Richtlinien im entsprechenden Pop-up-Fenster.

Elastic Cloud

Für die Elastic Cloud-Plattform benötigen Sie Zugriff auf:

  • Kibana zum Bereitstellen von Suchvorgängen und Regelalarmen
    • Kibana-Host und -Port
    • Login
    • Passwort
    • Raumname
    • Indexmuster

Um die Indexmuster-ID zu erhalten, klicken Sie auf die Wie man die Indexmuster-ID erhält Link in der linken unteren Ecke der Plattform-Integrationskonfiguration Seite und folgen den Richtlinien, die Sie sehen werden. 

  • Elasticsearch API zur Überwachung von Watchern
    • Elasticsearch-Host und -Port
    • Login und Passwort ODER einen API-Schlüssel

Nachdem dies konfiguriert wurde, ist CCM verfügbar im Bereich Automatisierung Seite oder Benutzereinstellungen konfigurieren:

  1. Automatisierung > Content Management & Automatisierung Abschnitte
  2. Benutzereinstellungen > Continuous Content Management

The Content Management Abschnitt enthält folgende Funktionalität:

  • Listen für eine ordnungsgemäße Inhalteorganisierung 
  • Inventar für einen umfassenden Inhaltsüberblick
  • Historie für die optimierte Protokollierung aller Content Management-Aktionen (Jobs, manuelle Bereitstellungen, Inhaltsupdates, etc.)

The Automatisierung Abschnitt enthält:

  • Jobs für die automatisierte Bereitstellung von Regeln und andere Content Management-Aktionen
  • Vorlagen zur Erstellung und Verwaltung von Inhaltsobjekten basierend auf benutzerdefinierten Vorlagen und deren Verknüpfung mit Jobs 

Bereit, CCM auszuprobieren? Wenn Sie die Universe-Abonnementstufe haben, können Sie CCM im Rahmen dieses Plans kostenfrei optimal nutzen. Alternativ können Sie das CCM-Abonnement als separate Lizenz erwerben. Kontaktieren Sie sales@socprime.com für weitere Details. 

Es gibt jedoch noch eine weitere Option zur Verfügung. SOC Prime versucht stets, mehr Möglichkeiten für Sicherheitsexperten zu bieten, die Community zu erkunden und von den verfügbaren SOC-Inhalten und Plattformfähigkeiten zu profitieren. Das CCM-Modul ist jetzt auch als Teil der kostenlosen Testversion verfügbar, sodass die Benutzer des Threat Detection Marketplace mit dem Community-Abonnement das vollautomatisierte Content Management System für einen Zeitraum von 14 Tagen testen können. Um das CCM-Modul im Rahmen einer kostenlosen Testversion zu aktivieren, müssen Sie Profil > Testeinstellungenauswählen und dann auf den Test anfordern Button neben der Continuous Content Management Testoption klicken.

Der Zugriff auf das CCM-Modul kann entweder nach einem Gespräch mit einem Vertreter des Vertriebsteams oder direkt nach der Genehmigung des Threat Detection Marketplace Admins aktiviert werden. 

Melden Sie sich bei Threat Detection Marketplace an, um von kuratierten SOC-Inhalten zu profitieren und die Bedrohungserkennung und Reaktionsfähigkeiten der Plattform zu genießen. 

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen