SOC Prime y Humio: Aspectos Técnicos Destacados

SOC Prime opera la plataforma más grande y avanzada para la defensa cibernética colaborativa, que permite a las organizaciones globales buscar eficientemente amenazas emergentes a gran velocidad. La plataforma de Detection as Code de SOC Prime cura el contenido de detección de amenazas basado en Sigma más actualizado e integra con más de 25 plataformas SIEM, EDR y XDR. Una extensa colección de más de 180,000 algoritmos de detección y respuesta verificados y enriquecidos con contexto se actualiza continuamente y se alinea con el marco MITRE ATT&CK® para asegurar una mayor visibilidad de las amenazas que coinciden con la superficie de ataque de la organización.

En este artículo de blog, cubriremos las capacidades más importantes de la plataforma de SOC Prime destinadas a simplificar y maximizar la eficiencia de las operaciones SOC para los equipos que utilizan la solución en la nube Humio.

Adaptar la Plataforma de SOC Prime al Entorno de Humio

A los nuevos usuarios de la plataforma de SOC Prime se les pide realizar un proceso único de configuración guiada usando el asistente de incorporación diseñado para adaptar la experiencia de la plataforma al entorno específico de la organización. Esta configuración personalizada está diseñada para potenciar las capacidades de detección de amenazas y la velocidad de caza de amenazas, y ofrecer un valor inmediato de la solución de SOC Prime.

Los suscriptores actuales de SOC Prime también se les solicitará completar configuraciones faltantes para personalizar la experiencia de la plataforma a sus necesidades de seguridad y maximizar instantáneamente su experiencia de detección y caza de amenazas. Para comenzar, haga clic en Abrir Asistente en la notificación que aparece en la parte superior de cada pantalla y proceda con las configuraciones.

Durante todo el procedimiento de configuración, los clientes de Humio pueden ver breves tutoriales en video en la sección Consejos a la derecha diseñada para simplificar la experiencia de incorporación. Alternativamente, pueden solicitar ayuda de las siguientes maneras:

• Acudir a los expertos de la Comunidad de Slack a través de un canal de Slack o enviar una Solicitud de Ayuda
• Solicitar soporte instantáneo a través del chat de Intercom y ponerse en contacto con los expertos de SOC Prime

Para los usuarios de Humio, el proceso de incorporación involucra los siguientes cinco pasos:

1. Seleccione la plataforma Humio de la lista de opciones predefinidas.

   

2. Configure el Perfil de Búsqueda de Incorporación para adaptar la búsqueda de contenido de detección a las fuentes de datos relevantes para su entorno Humio. Aquí puede seleccionar un conjunto de productos fuente de registro directamente de la lista de opciones predefinidas o primero elegir una categoría y luego productos relevantes vinculados a ella. Haga clic en Siguiente tan pronto como al menos un producto fuente de registro haya sido proporcionado.

   Tenga en cuenta que, una vez configurado, este Perfil de Búsqueda se puede aplicar a la página de Búsqueda Avanzada , Cobertura MITRE ATT&CK®, y paneles de Cobertura de Fuente de Registro para ajustar su búsqueda de contenido a las necesidades reales del entorno.

3. Proporcione una URL de la Plataforma para configurar su entorno de caza. Estas configuraciones son necesarias para permitir la ejecución instantánea de consultas de caza en su instancia Humio en la nube con los módulos Quick Hunt y Uncoder CTI de SOC Prime. Inicie sesión en su instancia Humio Cloud, copie el enlace del repositorio que desea usar para la integración y péguelo en el campo URL Base del asistente de incorporación.

   

4. Opcionalmente, seleccione el rol profesional que le permitirá obtener una experiencia de plataforma más personalizada. Los profesionales de la seguridad pueden seleccionar un máximo de dos opciones o completar un rol diferente en el campo Otro .

   

5. Configurar la Integración del Entorno — la configuración completa de la API con su entorno objetivo para habilitar el streaming automatizado de lógica de detección a su instancia Humio en la nube. Después de completar las URL de la Plataforma configuraciones en el paso 3, su URL base de Humio se llenará automáticamente en el campo correspondiente.

Para obtener un token de API, vaya a su instancia Humio Cloud y haga clic en Administrar tu Cuenta vinculada al repositorio que desea usar para la integración. Luego seleccione tokens de API en las configuraciones de Cuenta y haga clic en el botón Generar nuevo token de API . En el pop-up que aparece, haga clic en el botón Renovar token , copie el nuevo token generado y luego péguelo en el campo API Token en el asistente de incorporación de SOC Prime.

Una vez configurado, haga clic en el botón Comprobar conexión . Si la conexión es exitosa, ha terminado con la integración de Humio y está listo para desatar el poder completo de la plataforma de SOC Prime.

Busque Amenazas y Despliegue Detecciones en su Instancia Humio con un Solo Clic

Para acceder a toda la colección de reglas de detección de Humio, seleccione Descubrir > Búsqueda Avanzada después de iniciar sesión en la plataforma de SOC Prime. Los profesionales de la seguridad pueden filtrar contenidos por plataforma Humio plataforma o por tipos de contenido específicos de Humio — Alertas or Consultas. Una vez aplicado, profundice en la página de elementos de contenido para acceder al código fuente de detección convertible al formato nativo en la nube de Humio.

Tenga en cuenta que después de configurar el asistente de incorporación para su entorno Humio, la página del elemento de contenido mostrará automáticamente el código fuente de la regla en el formato correspondiente de la plataforma. No es necesario filtrar el contenido por la plataforma Humio de antemano.

Dependiendo del tipo de contenido seleccionado, puede elegir una de las siguientes capacidades de detección automatizada adaptadas a su entorno Humio*:

• Busque instantáneamente amenazas con Consultas Humio haciendo clic en el botón Buscar en Humio .
• Despliegue automáticamente Alertas Humio a través del botón Desplegar en Humio .

*Estas acciones están disponibles después de completar la Integración del Entorno configuración en el paso 5 del asistente de incorporación. Para ambas acciones de búsqueda y despliegue automatizadas, necesita seleccionar uno de los entornos preconfigurados.

Alternativamente, puede copiar manualmente el código fuente mediante el botón Copiar al portapapeles y luego pegar instantáneamente la Consulta o Alerta de Humio en su entorno en la nube y ejecutar la regla de detección.

Transmisión continua de algoritmos de detección en tiempo real directamente a su instancia Humio

Los equipos pueden transmitir automáticamente Alertas Humio directamente en su entorno nativo en la nube a través del módulo de Gestión de Contenidos Continúa (CCM) disponible bajo la categoría Automatizar de la plataforma de SOC Prime. Impulsada por la API de Humio, esta funcionalidad permite a las organizaciones mantenerse al tanto de las amenazas emergentes y los objetivos de detección estratégicos sin tener que buscar o descargar manualmente contenido de la plataforma de SOC Prime.

Tenga en cuenta que antes de aprovechar el módulo CCM, los clientes de Humio deben haber habilitado el acceso a la API de su suscripción Humio, lo que se puede preconfigurar en el paso 5 del asistente de incorporación.

Los usuarios de SOC Prime pueden aprovechar las siguientes capacidades de CCM:

• Crear y gestionar listas de contenido sobre la marcha para extraer Alertas Humio de estas listas hacia la instancia en la nube en uso:
  • Listas estáticas con contenido seleccionado a mano. Los elementos de contenido seleccionados pueden agregarse manualmente a listas específicas haciendo clic en el botón Agregar a Lista CCM desde la pestaña Código .
  • Listas dinámicas para poblar automáticamente las Alertas Humio más recientes y recientemente actualizadas mapeadas a las condiciones de filtro preconfiguradas. Para adaptar la lista de contenido dinámico al formato de Humio, en el formulario de configuración de la lista, haga clic en Filtros Avanzados > Plataforma de Contenido, y seleccione Alerta Humio de la lista de opciones predefinidas.
  • Listas de inventario to modificar y desplegar versiones de contenido personalizadas a través de múltiples instancias de Humio.
• Ejecutar trabajos programados de manera flexible para extraer automáticamente algoritmos de detección de listas de contenido específicas vinculadas al entorno Humio preconfigurado. Por defecto, los trabajos aplicarán el perfil de Mapeo de Campo Personalizado predeterminado basado en la fuente de registro preconfigurada aplicable para tales despliegues. Aquí you encuentre los detalles sobre cómo configurar el perfil de Mapeo de Campo Personalizado basado en la fuente de registro.
• Gestione todo el inventario de contenido de detección desde un solo lugar con la capacidad de actualizar reglas al instante y luego desplegar los cambios directamente en el entorno Humio. En la página Inventario , los equipos también pueden rastrear el estado del despliegue, el autor del contenido y la fuente, la fecha del despliegue y otros detalles de los despliegues de detección.
• Navegue por todo el historial de registros de despliegues de contenido automáticos y manuales junto con modificaciones de inventario. En la página Historial , los ingenieros de seguridad también pueden profundizar en los problemas de despliegue para todas las Alertas Humio para una mejor visibilidad.
• Personalice los despliegues para adaptar la lógica de detección a su entorno y procesos y evitar grandes volúmenes de falsos positivos mediante Preajustes and Filtros. 

Para obtener más información sobre las capacidades de gestión automatizada de contenido, consulte el artículo de blog dedicado.

Simplificar las Operaciones de Caza de Amenazas

Después de configurar el entorno de caza en el paso 3 del proceso de incorporación, los clientes de Humio pueden aprovechar las herramientas de caza de SOC Prime para buscar amenazas más rápido y más fácilmente que nunca.

Quick Hunt permite a los equipos cazar fácilmente sin necesidad de ser expertos en el campo. Para comenzar, seleccione Cazar > Quick Hunt y navegue por la lista de consultas ordenada por las detecciones de tendencia superior por defecto. Su plataforma Humio se seleccionará de forma inmediata junto con el entorno preconfigurado según las configuraciones de incorporación. Además, también puede seleccionar un perfil de Mapeo de Campo Personalizado existente o configurar uno nuevo para cazar en datos de registro no estándar. Consulte el sección de artículo dedicada sobre cómo configurar el perfil de Mapeo de Campo Personalizado basado en la fuente de registro.

Asegúrese de haber iniciado sesión en Humio Cloud antes de ejecutar una Sesión de Quick Hunt. 

Haga clic en Cazar para ejecutar una consulta seleccionada directamente en su entorno Humio y luego compartir comentarios con sus colegas sobre su experiencia de caza. Proporcionar comentarios contribuye a la experiencia global colectiva habilitada por la plataforma de SOC Prime y ayuda a hacer la caza más eficiente mientras se mejora continuamente la calidad y el volumen del contenido de detección.

Uncoder CTI está diseñado para acelerar la caza de amenazas basada en IOC y permite generar instantáneamente consultas IOC ajustadas a las necesidades del entorno específico de la organización.

Tenga en cuenta que después de configurar el asistente de incorporacióndependiente de la plataforma, Humio se configurará automáticamente como un entorno de caza para sesiones de Uncoder CTI.

Los usuarios de Humio pueden cazar con Uncoder CTI en solo unos clics:

1. Inserte IOC directamente en el panel del lado izquierdo o importe el archivo CSV, JSON o TXT correspondiente.
2. Personalice la consulta a generar: seleccione IOC, especifique el perfil de mapeo de campo IOC además del predeterminado (si es necesario), establezca el número de IOC por consulta y agregue excepciones. Los tipos de hash se poblarán automáticamente según los IOC proporcionados.
3. Haga clic en el botón Generar para obtener una consulta IOC personalizada.
4. Elija copiar la consulta y luego pegarla en su entorno o haga clic en el botón Cazar en su entorno para ejecutar automáticamente la consulta generada en Humio.

Notablemente, los usuarios de SOC Prime pueden aprovechar al máximo Uncoder CTI de forma gratuita hasta el 25 de mayo de 2022.

Convierta Reglas Sigma a Alertas y Consultas Humio a través de Uncoder.IO

Uncoder.IO es un motor de traducción en línea destinado a disolver las fronteras de una única herramienta para cazar y detectar amenazas que permite convertir detecciones basadas en Sigma a más de 25 formatos de SIEM, EDR y XDR. Para traducir automáticamente reglas Sigma al formato de Humio, siga los siguientes pasos:

1. Seleccione Sigma como un lenguaje de consulta de entrada en el panel del lado izquierdo.
2. Inserte el código fuente de la regla Sigma o seleccione el documento relevante de la lista desplegable.
3. Seleccione Humio como un lenguaje de destino en el panel del lado derecho.
4. Seleccione el formato de destino Humio — Alerta o Consulta.
5. Haga clic en el botón Traducir .
6. Haga clic en el botón Copiar botón y pegue el código de detección en su entorno Humio.

Únase a la plataforma de Detection as Code de SOC Prime para aprovechar el poder de la colaboración industrial global que permite a los equipos mantenerse al día con el volumen cada vez mayor de ataques y defenderse proactivamente contra amenazas digitales complejas y en continuo crecimiento. Al aprovechar la experiencia colectiva de la biblioteca de contenido de detección más grande y en constante enriquecimiento del mundo, las organizaciones pueden resolver el desafío de crear un volumen continuo de contenido personalizado adecuado para su entorno único de implementación SOC. También se anima a los investigadores individuales a unirse a las filas de la defensa cibernética colaborativa compartiendo su contenido de detección y siendo compensados por sus contribuciones.

ÚNASE A LA PLATAFORMA DE SOC PRIME ÚNASE A THREAT BOUNTY