Por qué SOC Prime Creó la Gestión Continua de Contenidos

[post-views]
diciembre 16, 2020 · 4 min de lectura
Por qué SOC Prime Creó la Gestión Continua de Contenidos

Antes del lanzamiento del módulo de Gestión Continua de Contenidos (CCM), nuestros usuarios del Marketplace de Detección de Amenazas tenían que descargar los elementos de contenido e importarlos manualmente en su SIEM. Somos grandes fanáticos del enfoque de «Detección como Código» de Anton Chuvakin para la detección de amenazas, lo que nos ha llevado a introducir una mayor automatización en la implementación del contenido del SOC. Esto significaba replantearse cómo simplificar las operaciones de detección de amenazas y lograr capacidades de seguridad mejoradas. Ahora, con el lanzamiento de CCM, nuestros clientes pueden desplegar automáticamente elementos de contenido directamente en su SIEM, realizar cambios sobre la marcha y volver a desplegar estos cambios en la plataforma que utilizan.

CCM está disponible para Microsoft Azure Sentinel y Elastic Cloud, y pronto estará disponible el soporte para Sumo Logic y otros SIEM nativos de la nube. Dependiendo de la solución SIEM en uso, puede desplegar elementos de contenido de los siguientes tipos:

  • Para Azure Sentinel
    • Consulta
    • Regla
    • Funciones/Analizadores
  • Para Elastic Cloud
    • Alerta de Regla
    • Watcher
    • Búsqueda Guardada

Cómo Configurar la Integración de Gestión Continua de Contenidos

Antes de configurar CCM, necesita configurar la integración para Azure Sentinel o Elastic Cloud desde la página de Automatización o configuraciones del usuario:

  1. página de Automatización > Integración
  2. Configuraciones de Usuario > Configuración de Integración de la Plataforma

Dependiendo del tipo de contenido y SIEM, se deben cumplir ciertos requisitos del sistema.

Microsoft Azure Sentinel

Para la plataforma Azure Sentinel, necesita tener acceso API a la suscripción de Azure Sentinel con los permisos relevantes para leer y desplegar recursos en el espacio de trabajo apropiado:

  • ID de Cliente
  • Secreto de Cliente
  • ID de Inquilino
  • ID de Suscripción
  • Grupo de Recursos
  • Espacio de Trabajo

Para recibir estas credenciales:

  • Haga clic en el enlace Cómo Obtener Credenciales en la esquina inferior izquierda de la Configuración de Integración de la Plataforma página.

  • Siga las directrices descritas en la ventana emergente correspondiente.

Elastic Cloud

Para la plataforma Elastic Cloud, necesita tener acceso a:

  • Kibana para desplegar Búsquedas y Alertas de Reglas
    • Host y puerto de Kibana
    • Usuario
    • Contraseña
    • Nombre del Espacio
    • Patrones de índice

Para recibir el ID del Patrón de Índice, haga clic en la página Cómo Obtener ID del Patrón de Índice en la esquina inferior izquierda de la Configuración de Integración de la Plataforma , y siga las directrices que verá.

  • API de Elasticsearch para desplegar Watchers
    • Host y puerto de Elasticsearch
    • Usuario y contraseña O una Clave API

Una vez configurado, CCM está disponible desde las página de Automatización o configuraciones del usuario:

  1. página de Automatización > secciones de Gestión de Contenidos y Automatización secciones
  2. Configuraciones de Usuario > Gestión Continua de Contenidos

The Gestión de Contenidos la sección incluye la siguiente funcionalidad:

  • Listas para una adecuada organización del contenido
  • Inventario para una visión completa del contenido
  • Historial para un registro simplificado de todas las acciones de gestión de contenidos (trabajos, despliegues manuales, actualizaciones de contenido, etc.)

The página de Automatización la sección incluye:

  • Trabajos para el despliegue automatizado de reglas y otras acciones de gestión de contenidos
  • Plantillas para crear y gestionar elementos de contenido basados en plantillas personalizadas y vincularlos a trabajos

¿Listo para probar CCM? Si tiene el nivel de suscripción Universe, puede aprovechar al máximo CCM sin cargo adicional como parte de este plan. Como alternativa, puede adquirir la suscripción de CCM como una licencia separada. Contacte con sales@socprime.com para más detalles.

Aún así, hay una opción más a su disposición. SOC Prime siempre está tratando de ofrecer más oportunidades a los profesionales de la seguridad para explorar la comunidad y obtener valor del contenido SOC disponible y las capacidades de la plataforma. El módulo CCM ahora también está disponible como parte de la Prueba Gratuita, por lo que los usuarios del Marketplace de Detección de Amenazas con la suscripción Community pueden probar el sistema de gestión de contenidos totalmente automatizado durante un período de 14 días. Para activar el módulo CCM como parte de una Prueba Gratuita, necesita seleccionar Perfil > Configuraciones de Prueba, y luego hacer clic en el botón Solicitar Prueba junto a la Gestión Continua de Contenidos opción de prueba.

El acceso de Prueba Gratuita al módulo CCM se puede activar ya sea después de tener una llamada con el representante del Equipo de Ventas o directamente después de la aprobación del Administrador del Marketplace de Detección de Amenazas.

Regístrese para Marketplace de Detección de Amenazas para obtener valor del contenido SOC curado y disfrutar de las capacidades de detección y respuesta de amenazas de la plataforma.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión