Pourquoi SOC Prime a créé la Gestion Continue du Contenu

[post-views]
décembre 16, 2020 · 5 min de lecture
Pourquoi SOC Prime a créé la Gestion Continue du Contenu

Avant la libération du module de Gestion de Contenu Continu (CCM), nos utilisateurs du Marché de Détection de Menaces devaient télécharger des éléments de contenu et les importer manuellement dans leur SIEM. Nous sommes de grands fans de l’approche « Détection en tant que Code » d’Anton Chuvakin pour la détection de menaces, ce qui nous a poussés à apporter une automatisation améliorée au déploiement du contenu SOC. Cela signifiait repenser la façon de rationaliser les opérations de détection de menaces et d’obtenir des capacités de sécurité avancées. Désormais, avec le lancement de CCM, nos clients peuvent déployer automatiquement des éléments de contenu directement dans leur SIEM, apporter des modifications à la volée et redéployer ces modifications sur la plateforme que vous utilisez.

CCM est disponible pour Microsoft Azure Sentinel et Elastic Cloud, avec une prise en charge de Sumo Logic et d’autres SIEM natifs du cloud très bientôt. Selon la solution SIEM utilisée, vous pouvez déployer des éléments de contenu des types suivants :

  • Pour Azure Sentinel
    • Requête
    • Règle
    • Fonctions/Analyseurs
  • Pour Elastic Cloud
    • Alerte de Règle
    • Watcher
    • Recherche Enregistrée

Comment Configurer l’Intégration de Gestion de Contenu Continu

Avant de configurer CCM, vous devez configurer l’intégration pour Azure Sentinel ou Elastic Cloud depuis la page d’Automatisation ou les paramètres utilisateur :

  1. page d’Automatisation > Intégration
  2. Paramètres Utilisateur > Configuration de l’Intégration de la Plateforme

Selon le type de contenu et le SIEM, des exigences système spécifiques doivent être remplies.

Microsoft Azure Sentinel

Pour la plateforme Azure Sentinel, vous devez avoir accès à l’API de l’abonnement Azure Sentinel avec les autorisations pertinentes pour lire et déployer les ressources dans l’espace de travail approprié :

  • ID Client
  • Secret Client
  • ID Locataire
  • ID d’Abonnement
  • Groupe de Ressources
  • Espace de Travail

Pour recevoir ces informations d’identification :

  • Cliquez sur le Comment Obtenir des Identifiants lien dans le coin inférieur gauche de la Configuration de l’Intégration de la Plateforme page.

  • Suivez les instructions décrites dans la fenêtre pop-up correspondante.

Elastic Cloud

Pour la plateforme Elastic Cloud, vous devez avoir accès à :

  • Kibana pour déployer des Recherches et des Alertes de Règle
    • Hôte et port Kibana
    • Connexion
    • Mot de passe
    • Nom de l’Espace
    • Motifs d’Index

Pour recevoir l’ID du Motif d’Index, cliquez sur la page Comment Obtenir l’ID du Motif d’Index lien dans le coin inférieur gauche de la Configuration de l’Intégration de la Plateforme , et suivez les instructions que vous verrez.

  • API Elasticsearch pour déployer des Watchers
    • Hôte et port Elasticsearch
    • Identifiants de connexion ou une Clé API

Une fois configuré, CCM est disponible à partir des page d’Automatisation ou les paramètres utilisateur :

  1. page d’Automatisation > sections Gestion de Contenu & Automatisation sections
  2. Paramètres Utilisateur > Gestion de Contenu Continue

The La section Gestion de Contenu inclut les fonctionnalités suivantes :

  • Listes pour une organisation appropriée du contenu
  • Inventaire pour un aperçu complet du contenu
  • Historique pour une journalisation simplifiée de toutes les actions de gestion de contenu (tâches, déploiements manuels, mises à jour de contenu, etc.)

The page d’Automatisation section inclut :

  • Tâches pour le déploiement automatisé des règles et d’autres actions de gestion de contenu
  • Modèles pour créer et gérer des éléments de contenu basés sur des modèles personnalisés et les lier aux tâches

Prêt pour essayer CCM ? Si vous avez le niveau d’abonnement Univers, vous pouvez profiter au maximum de CCM gratuitement dans le cadre de ce plan. En alternative, vous pouvez acheter l’abonnement CCM comme une licence séparée. Contactez sales@socprime.com pour plus de détails.

Néanmoins, il y a une autre option à votre disposition. SOC Prime cherche toujours à offrir plus de possibilités aux professionnels de la sécurité pour explorer la communauté et tirer de la valeur du contenu SOC disponible et des capacités de la plateforme. Le module CCM est désormais également disponible dans le cadre de l’essai gratuit, donc les utilisateurs du Marché de Détection de Menaces avec l’abonnement Communauté peuvent essayer le système de gestion de contenu entièrement automatisé pendant une période de 14 jours. Pour activer le module CCM dans le cadre d’un essai gratuit, vous devez sélectionner Profil > Paramètres d’Essai, puis cliquez sur le bouton Demander un Essai à côté de l’option d’essai. Gestion de Contenu Continue .

L’accès à l’essai gratuit du module CCM peut être activé soit après avoir eu un appel avec un représentant de l’équipe de vente, soit directement après l’approbation de l’administrateur du Marché de Détection de Menaces.

Inscrivez-vous au Marché de Détection de Menaces pour obtenir de la valeur à partir de contenu SOC sélectionné et profiter des capacités de détection et de réponse aux menaces de la plateforme.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion