Activer la gestion continue du contenu avec la plateforme SOC Prime

Avec le lancement de la SOC Prime Platform pour la cyber défense collaborative, la chasse aux menaces et la découverte de menaces, les capacités à automatiser complètement le streaming de contenu de détection ont également été élevées à un nouveau niveau. Maintenant, le Continuous Content Management module est disponible pour tous les utilisateurs inscrits sur la SOC Prime Platform avec une adresse email professionnelle, avec une disponibilité basée sur un seuil selon leur plan d’abonnement actif.

Avec un large ensemble de solutions de sécurité prises en charge pour l’intégration, le Continuous Content Management permet des opérations de détection de menaces rationalisées pour les plateformes SIEM et XDR dans le cloud suivantes :

• Microsoft Azure Sentinel
• Elastic Cloud
• Humio
• Sumo Logic
• Google Chronicle Security

En plus de la pile SIEM et XDR native du cloud, le module Continuous Content Management prend également en charge les solutions Splunk et Elastic Stack sur site. En utilisant l’application SOC Prime CCM pour Splunk, les ingénieurs en sécurité peuvent diffuser continuellement de nouvelles règles et mettre à jour les règles existantes dans leur instance Splunk sur site. Consultez les directives d’installation et obtenez l’application SOC Prime CCM pour Splunk directement depuis le Splunkbase. Le streaming de contenu de détection vers les instances Splunk et Elastic Stack sur site est disponible via l’outil TDM API Integration Tool.

La prise en charge native du cloud pour l’application Splunk arrive bientôt, ce qui permettra aux ingénieurs en sécurité de diffuser des détections dans leur instance Splunk cloud via l’API du SOC Prime Threat Detection Marketplace.

Content Lists

Pour déployer automatiquement les détections dans la solution de sécurité en cours d’utilisation, les équipes SOC peuvent organiser du contenu dans des Content Listsstructurées. SOC Prime a arrangé des Global Content Lists avec des détections couvrant les domaines de préoccupation les plus courants.

Ces listes sont disponibles pour toutes les équipes de sécurité utilisant la SOC Prime Platform. De manière similaire, les ingénieurs en sécurité peuvent créer des Content Lists et les partager avec leurs équipes au sein de la SOC Prime Platform.

• Avec les Static Content Lists, les équipes peuvent organiser du contenu sélectionné pour certains objectifs.
• Dynamic Content Lists permettent de délivrer en continu des détections mises à jour et publiées selon les paramètres préconfigurés du contenu requis.
• Avec les Inventory Content Lists, les ingénieurs en sécurité peuvent déployer du contenu vers leurs différentes instances SIEM et XDR séparément via une tâche distincte, ainsi que conserver la copie locale des modifications apportées au contenu de détection de la page Inventory. page.

Les équipes SOC peuvent créer de nouvelles Lists à partir de zéro ou faire des copies des Lists existantes et les personnaliser. De plus, pour tirer pleinement parti de la livraison automatisée et de l’adoption de contenu depuis le Threat Detection Marketplace, les ingénieurs en sécurité peuvent spécifier des paramètres de filtrage au sein de la List pour ne recevoir que le contenu qui répond à leurs besoins.

Le Continuous Content Management permet aux ingénieurs en sécurité d’administrer le processus d’adoption de contenu automatisé et d’avoir une image claire des résultats du déploiement.

Jobs

En programmant et exécutant Jobs, les équipes SOC peuvent déployer automatiquement les dernières détections dans leur instance SIEM ou XDR. Pour ajouter plus de flexibilité aux opérations de gestion de contenu, un seul Job peut être créé spécifiquement pour une Content List particulière, liée à la plateforme sélectionnée et à un type de contenu spécifique. De même, plusieurs Jobs peuvent être liés à une seule List et poussés vers les mêmes ou différentes instances SIEM ou XDR. Pour plus de commodité, les Jobs peuvent être configurés selon un schéma de données personnalisé pour avoir plus de contrôle sur le déploiement de contenu et diffuser le contenu dans le format de schéma de données préféré. De plus, les ingénieurs en sécurité peuvent configurer des Jobs pour le déploiement de contenu basé sur les formats de traduction alternatifs pour les environnements Azure Sentinel, Sumo Logic et Elastic Cloud.

Sur la Jobs page, les équipes peuvent suivre les déploiements réussis et échoués des Content Lists effectués par un certain job et déboguer facilement les journaux. En cas de problèmes de déploiement avec une Liste de contenu particulière, les ingénieurs en sécurité peuvent explorer la page History et trouver les détails des erreurs de chaque élément de contenu dans la Liste.

page Inventory.

Avec les page Inventory., les équipes SOC peuvent examiner et mettre à jour les détections liées à l’instance SIEM ou XDR sélectionnée et liées à un environnement spécifique. Ici, elles peuvent suivre l’auteur du contenu et sa source, la date de déploiement, le nombre de hits et d’autres détails de chaque élément de contenu sur la page Inventory. liste. Les ingénieurs en sécurité peuvent également mettre à jour les détections directement depuis la page Inventory. page, puis déployer les modifications dans leur environnement.

The page Inventory. La page permet de gérer les éléments de contenu sélectionnés en un seul endroit en les activant ou les désactivant, en les ajoutant à une Liste de contenu existante ou nouvelle, ou en supprimant le contenu qui n’est plus nécessaire. Lors du choix de supprimer un seul élément de contenu ou un ensemble d’entre eux, les ingénieurs en sécurité peuvent supprimer cette détection uniquement de la page Inventory. liste ou de l’instance SIEM ou XDR également.

Presets and Filters

Avec le Continuous Content Management, les équipes de sécurité peuvent personnaliser les conditions de déploiement automatisé de contenu pour répondre à leurs exigences de sécurité et éviter de grandes quantités de faux positifs.

Filters permettent aux équipes de sécurité d’ajouter des conditions supplémentaires à la logique de détection avant le déploiement, telles que l’inclusion/exclusion d’utilisateurs spécifiques, de hôtes, etc.

Avec les Presets, les ingénieurs en sécurité peuvent personnaliser le déploiement automatisé en tenant compte des particularités des paramètres de leur instance SIEM ou XDR. Lier des Presets aux Jobs aide à rationaliser les opérations de gestion de contenu et à éviter les erreurs qui peuvent survenir lors de l’édition manuelle de contenu.

History

Les équipes de sécurité peuvent consulter l’historique complet des actions automatiques et manuelles au sein du module Continuous Content Management. Ici, les ingénieurs peuvent examiner tous les journaux des Jobs, des déploiements manuels et des mises à jour. En sélectionnant les préférences d’affichage des journaux, les équipes peuvent examiner les journaux qui leur sont les plus informatifs — pour se concentrer sur les activités liées au contenu, comme les résultats de déploiement, et garder les Service Logs masqués de la History page. Le Continuous Content Management permet également de parcourir l’historique des journaux et d’examiner des journaux spécifiques en utilisant la syntaxe de requête de recherche Lucene.

Les informations sur les actions consignées dans l’historique sont également disponibles, avec des détails liés au statut des déploiements de contenu — résultats d’un déploiement réussi, ou détails des problèmes et erreurs pour une tentative de déploiement de contenu échouée.

Vous recherchez le meilleur contenu SOC compatible avec vos solutions SIEM, EDR et NTDR en cours d’utilisation ? Explorez la SOC Prime Platform pour répondre à vos cas d’utilisation personnalisés, améliorer la découverte et la chasse aux menaces, et obtenir une visualisation complète de l’évolution de votre équipe. Passionné par la chasse aux menaces et désireux de contribuer à la première bibliothèque de contenu SOC de l’industrie ? Rejoignez notre Threat Bounty Program !

Accéder à la plate-forme Rejoindre le Threat Bounty