SOC Prime presenta la gestión continua de contenido

diciembre 22, 2020

8 min de lectura

SOC Prime presenta la gestión continua de contenido

Veronika Zahorulko
Veronika Zahorulko Analista de Mercado de Detección linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Tabla de Contenidos

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

SOC Prime introduce un sistema totalmente automatizado de gestión continua de contenido

La Gestión Continua de Contenido (CCM) es un módulo complementario para SOC Prime Threat Detection Marketplace. En la versión de noviembre, presentamos el sistema de Gestión Automatizada de Contenidos para crear una experiencia de plataforma más intuitiva. Aquí vamos a cubrir las capacidades principales del módulo CCM y cómo el sistema completamente automatizado de Gestión de Contenidos permite a los expertos en seguridad transmitir el contenido más reciente del SOC directamente a su instancia de SIEM y llevar la gestión de contenidos a un nuevo nivel.

Lea nuestra publicación en el blog sobre cómo acceder al módulo y configurar correctamente las integraciones para su SIEM para habilitar la Gestión Continua de Contenidos.

Organizando el Contenido SOC en Listas de Contenido Estáticas y Dinámicas

La funcionalidad recientemente lanzada del módulo de Gestión Continua de Contenido permite a los usuarios de seguridad que usan Microsoft Azure Sentinel y Elastic Cloud organizar todo su contenido SOC en forma de listas de contenido estructuradas ordenadamente. La personalización a la configuración del entorno y preferencias de contenido se puede aplicar a:

  • Listas dinámicas que se actualizan continuamente según las etiquetas agregadas anteriormente
  • Listas estáticas que muestran todas las preferencias de usuario guardadas

Todas las listas están agrupadas de la siguiente manera:

  • All — todas las listas de contenido (tanto estáticas como dinámicas)
  • My — listas de contenido creadas por el usuario específico
  • Recomendadas — listas de contenido recomendadas por los administradores de Threat Detection Marketplace. Normalmente abordan las amenazas más recientes y relevantes o poseen otro valor tangible para los profesionales de seguridad.

Los profesionales de seguridad pueden buscar las listas específicas por:

  • Nombre
  • Tipo de lista (estática o dinámica)
  • Número de elementos que contiene la lista

 

Las siguientes acciones están disponibles con las listas de contenido dependiendo de sus tipos:

  • Con todas las listas de contenido:
    • Crear nuevas listas
    • Editar listas
    • Eliminar listas
    • Copiar listas
  • Sólo con listas de contenido estáticas
    • Agregar elementos a la lista de contenido manualmente
    • Eliminar elementos específicos
  • Sólo con listas recomendadas
    • Copiar listas*

*Las listas recomendadas solo pueden ser editadas por los Administradores de Threat Detection Marketplace. Si no tienes privilegios de Administrador, no podrás editar o eliminar estas listas, solo copiarlas.

 

Puedes eliminar elementos específicos solo de las listas de contenido estáticas. Las listas dinámicas se pueden eliminar solo con todos los elementos que contienen.

Copiar Listas de Contenido

Donde antes tenías que crear listas de contenido desde cero, ahora puedes simplificar la creación de tus nuevas listas de contenido basándote en los elementos ya existentes. Esto puede ser útil cuando necesitas crear una nueva lista que solo difiera ligeramente de una ya existente. Puedes crear una copia de una lista similar seleccionando la opción Copiar Lista , agregar todos los cambios requeridos y guardar la copia de la lista. Después de guardar, el elemento se añadirá a la página de Listas de Contenido con la palabra “copia” en el nombre de la lista.

Implementación Automática de Contenido y Actualizaciones usando Jobs

En la Jobs , ahora puedes desplegar nuevos elementos de contenido y actualizar todos los elementos existentes disponibles en tu instancia de Azure Sentinel o Elastic Cloud configurando y programando trabajos para las listas de contenido creadas. Esto permite ver todos los registros de acciones y rastrear todas las implementaciones de contenido exitosas y fallidas.

Un trabajo compara cada elemento de contenido de la lista de contenido con todo el contenido existente que se enumera en la página de Inventario . Si no existe tal elemento de contenido en la página de Inventario página, dicho elemento se implementará automáticamente en el perfil API configurado de tu SIEM.

Un trabajo puede ejecutarse bajo las siguientes condiciones:

  • Si el inventario fue exitoso al menos una vez en las últimas 24 horas

Una vez que esté habilitado en la Jobs página encendiendo el interruptor en la columna correspondiente

NUEVO: Crear y Vincular Plantillas de Reglas Personalizadas a Jobs

La nueva funcionalidad en la última versión del módulo CCM permite crear y gestionar plantillas de reglas personalizadas y vincularlas a trabajos recién creados. Esto ayuda a simplificar las operaciones de gestión de contenido y evitar errores que pueden ocurrir al editar manualmente la regla.

Puedes crear plantillas de reglas para las siguientes plataformas:

  • Azure Sentinel
  • Elastic
  • Humio
  • Sumo Logic*

*Puedes crear plantillas de reglas para todas estas plataformas, pero actualmente puedes vincular y luego ejecutar trabajos asociados solo para Azure Sentinel y Elastic Cloud.

Para crear una nueva plantilla de regla:

  1. Selecciona Automatización > Plantillas.
  2. Haz clic en el botón Agregar Plantilla de Regla .
  3. Selecciona la plataforma compatible y el tipo de contenido (si aplica).
  4. Haz clic en el botón Agrega una nueva opción de plantilla del menú desplegable Plantilla .
  5. Proporciona el nombre de la plantilla de regla y elige si deseas compartirla con tu empresa.
  6. Rellena todos los campos requeridos, que variarán según la plataforma que hayas seleccionado, como Periodo de Consulta, Severidad (“Baja”, “Media”, “Alta”, “Crítica”), Estado de la Regla (“Habilitada”, “Deshabilitada”), etc.
  7. Opcionalmente, puedes configurar excepciones haciendo clic en la sección de Configuración de Excepciones .
  8. Haz clic en el botón Guarda los Cambios , y la plantilla de regla creada aparecerá en la parte superior de la Plantillas página.

Todas las plantillas de reglas disponibles están listadas en una página separada dentro del módulo de Gestión Continua de Contenido: Plantillas Plantillas creadas por ti

  • Plantillas creadas por los miembros de tu equipo y compartidas a través de tu organización
  • Después de crear una nueva plantilla de regla, puedes vincularla al trabajo específico antes de ejecutar este trabajo para la implementación automatizada de contenido u otras acciones.

También puedes gestionar las plantillas de reglas de la siguiente manera:

 

Editar la plantilla

  • Eliminar la plantilla
  • Al eliminar la plantilla de regla,*

*todos los trabajos activos vinculados a ella se desactivarán Los usuarios de Threat Detection Marketplace pueden realizar las siguientes acciones con el trabajo creado:.

Editar este trabajo

  • Depurar registros de despliegues de elementos de contenido fallidos
  • Eliminar este trabajo de la lista
  • Revisión del Inventario de Contenidos en su SIEM

En la

En la página de Inventario página, puedes revisar y actualizar todos los elementos de contenido disponibles en tu instancia de Azure Sentinel o Elastic Cloud. El inventario está programado para ejecutarse cada hora. Los usuarios no pueden cambiar estas configuraciones.

Editar un Elemento de Contenido Único

Puedes actualizar elementos de contenido que sean de diversas fuentes, incluso aquellos que no provienen de Threat Detection Marketplace seleccionando la opción Editar Contenido del menú de acciones.

Después de realizar cambios en el código fuente, puedes implementarlos al instante directamente en tu instancia de SIEM con un solo clic.

Acciones con Múltiples Elementos de Contenido

También puedes gestionar múltiples elementos de contenido a la vez seleccionando una de las acciones disponibles:

  • Habilitar Todos — activar todos los elementos de contenido seleccionados que estaban deshabilitados
  • Deshabilitar Todos — desactivar todos los elementos de contenido seleccionados que estaban habilitados
  • Eliminar — eliminar todos los elementos de contenido seleccionados
  • Limpiar Eliminados — eliminar todos los elementos de contenido que fueron marcados como “Eliminados” (eliminados de tu instancia de Azure Sentinel o Elastic Cloud) de la página de Inventario página

Marcar contenido como “Eliminado” ayuda a verificar todos los elementos de contenido que han sido eliminados de tu instancia SIEM. Al hacer clic en el botón Limpiar Eliminados , estos elementos de contenido ya no se listarán en la página de Inventario página, pero si todavía están disponibles en tu instancia SIEM, aparecerán nuevamente aquí en la página de Inventario página.

Registro Simplificado con la Página de Historia

Cada acción automatizada o manual dentro del módulo CCM se registra con los resultados detallados y se puede revisar en la página de Historia . Aquí puedes ver todos los registros de trabajos, implementaciones manuales y actualizaciones.

The Registro de Inventario El interruptor de la página de Historia página permite controlar qué registros mostrar. Cuando el interruptor está apagado, podrás enfocarte solo en los registros de implementación en lugar de ser distraído por todos los registros enviados por el sistema.

Para ver el resultado de la implementación para cada elemento de contenido en la página de Historia página, haz clic en el estado Resultado de Despliegue en la fila del elemento de contenido correspondiente que deseas inspeccionar. Verás la notificación emergente con los detalles de la implementación de la regla (exitosa o fallida).

En caso de un resultado de implementación exitoso, se te notificará que el contenido se ha implementado exitosamente en tu entorno SIEM con los detalles de la solicitud HTTP.

Si la implementación ha fallado, se te notificará sobre un problema con los detalles del error, incluida la solicitud HTTP fallida.

Capacidades Avanzadas de Búsqueda con la Sintaxis de Consulta Lucene

Puedes usar la sintaxis de consulta Lucene en las página de Inventario and página de Historia páginas utilizando campos compatibles en las consultas para buscar el contenido SOC específico. Por ejemplo, para mostrar solo consultas para la plataforma Azure Sentinel, usa la siguiente sintaxis que incluye el campo content.type y su valor predefinido:

content.type:”query”

Puedes buscar contenido usando todos los campos disponibles para la búsqueda avanzada con las consultas de Lucene.

¿Quieres profundizar más en los detalles? Echa un vistazo a la Guía CCM que hemos añadido al Centro de Ayuda, para que los usuarios de Threat Detection Marketplace que son nuevos en este módulo puedan explorar todas las capacidades de gestión de contenido que ofrece para una experiencia de plataforma más optimizada.

Visita nuestro sitio web para más detalles sobre cómo comprar el módulo CCM o probarlo gratis.

¿Eres nuevo en Threat Detection Marketplace? Regístrate para mejorar tus capacidades de seguridad con acceso a más de 85,000 algoritmos de detección y respuesta de amenazas, modelos de aprendizaje automático, tableros, parsers y configuraciones convertibles a más de 20 tecnologías SIEM, EDR y NTDR y mapeados a MITRE ATT&CK.®

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Articles

SIEM vs Gestión de Registros: Observabilidad, Telemetría y Detección 9 min de lectura SIEM y EDR SIEM vs Gestión de Registros: Observabilidad, Telemetría y Detección by Steven Edwards Despliegue de Reglas en un Plano de Datos 2 min de lectura Plataforma SOC Prime Despliegue de Reglas en un Plano de Datos by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards