Abilita la Gestione Continua dei Contenuti con la Piattaforma SOC Prime

Con il rilascio della SOC Prime Platform per la difesa collaborativa informatica, caccia alle minacce e scoperta delle minacce, anche le capacità di automatizzare completamente lo streaming dei contenuti di rilevamento sono state portate a un nuovo livello. Ora, il Continuous Content Management modulo è disponibile per tutti gli utenti registrati sulla SOC Prime Platform con un’indirizzo email aziendale, con una disponibilità basata su soglia a seconda del loro piano di abbonamento attivo.

Con un ampio set di soluzioni di sicurezza supportate per l’integrazione, Continuous Content Management abilita operazioni di rilevamento delle minacce semplificate per le seguenti piattaforme cloud-based SIEM & XDR:

• Microsoft Azure Sentinel
• Elastic Cloud
• Humio
• Sumo Logic
• Google Chronicle Security

Oltre allo stack SIEM & XDR nativo per il cloud, il modulo Continuous Content Management supporta anche soluzioni Splunk ed Elastic Stack on-premise. Sfruttando l’app SOC Prime CCM per Splunk, gli ingegneri della sicurezza possono continuare a trasmettere nuove regole e aggiornare quelle esistenti nella loro istanza on-premise di Splunk. Consulta le linee guida per l’installazione e ottieni l’ App SOC Prime CCM per Splunk direttamente da Splunkbase. Lo streaming dei contenuti di rilevamento sia alle istanze on-premise di Splunk che di Elastic Stack è disponibile tramite il Strumento di Integrazione TDM API.

Il supporto nativo per il cloud dell’app Splunk sarà presto disponibile, il che permetterà agli ingegneri della sicurezza di trasmettere i rilevamenti nella loro istanza cloud di Splunk tramite l’API del SOC Prime Threat Detection Marketplace.

Elenchi di Contenuti

Per distribuire automaticamente i rilevamenti nella soluzione di sicurezza in uso, i team SOC possono organizzare i contenuti in Elenchi di Contenutistrutturati. SOC Prime ha organizzato Elenchi Globali di Contenuti con rilevamenti che affrontano le aree di preoccupazione più comuni.

Questi elenchi sono disponibili per tutti i team di sicurezza che utilizzano la SOC Prime Platform. In modo simile, gli ingegneri della sicurezza possono creare Elenchi di Contenuti e condividerli con i loro team all’interno della SOC Prime Platform.

• Con i Elenchi di Contenuti Statici, i team possono organizzare contenuti selezionati per determinati scopi.
• Elenchi di Contenuti Dinamici permettono di fornire continuamente rilevamenti aggiornati e rilasciati secondo parametri preconfigurati del contenuto richiesto.
• Con i Elenchi di Contenuti di Inventario, gli ingegneri della sicurezza possono distribuire contenuti nelle loro diverse istanze SIEM & XDR separatamente tramite un Lavoro separato, oltre a mantenere la copia locale delle modifiche apportate al contenuto di rilevamento della pagina di Inventario .

I team SOC possono creare nuovi Elenchi da zero o fare copie degli Elenchi esistenti e personalizzarli. Inoltre, per sfruttare al massimo la consegna automatizzata e l’adozione dei contenuti dal Threat Detection Marketplace, gli ingegneri della sicurezza possono specificare parametri di filtro all’interno dell’Elenco per ricevere solo il contenuto che soddisfa le loro esigenze.

Il Continuous Content Management consente agli ingegneri della sicurezza di gestire il processo di adozione dei contenuti automatizzati e ottenere un quadro chiaro dei risultati della distribuzione.

Lavori

Pianificando ed eseguendo Lavori, i team SOC possono distribuire automaticamente gli ultimi rilevamenti nella loro istanza SIEM o XDR. Per aggiungere maggiore flessibilità alle operazioni di gestione dei contenuti, un singolo Lavoro può essere creato specificamente per un certo Elenco di Contenuti, collegato alla piattaforma selezionata e un tipo di contenuto specifico. Allo stesso modo, più Lavori possono essere collegati a un singolo Elenco e inviati alla stessa o a diverse istanze SIEM o XDR. Per maggiore comodità, i Lavori possono essere impostati in base a uno schema dati personalizzato per avere un maggiore controllo sulla distribuzione dei contenuti e trasmettere contenuti nel formato dello schema dati preferito. Inoltre, gli ingegneri della sicurezza possono impostare Lavori per la distribuzione dei contenuti basati sui formati di traduzione alternativi per ambienti Azure Sentinel, Sumo Logic ed Elastic Cloud.

Nella Lavori pagina, i team possono tenere traccia delle distribuzioni degli Elenchi di Contenuti eseguite con successo e di quelle fallite effettuate da un certo lavoro e facilmente eseguire il debug dei log. In caso di problemi di distribuzione con un certo Elenco di Contenuti, gli ingegneri della sicurezza possono approfondire la pagina Storico e trovare i dettagli degli errori di ciascun elemento del contenuto all’interno dell’Elenco.

Inventario

Con i Inventario, i team SOC possono esaminare e aggiornare i rilevamenti relativi all’istanza SIEM o XDR selezionata e collegati a un ambiente specifico. Qui possono monitorare l’autore del contenuto e la sua fonte, la data di distribuzione, il conteggio dei hit e altri dettagli di ciascun elemento di contenuto nella Inventario elenco. Gli ingegneri della sicurezza possono anche aggiornare i rilevamenti direttamente dalla Inventario pagina e quindi distribuire le modifiche nel loro ambiente.

The Inventario pagina consente di gestire elementi di contenuto selezionati in un unico luogo attivandoli o disattivandoli, aggiungendoli all’elenco dei contenuti esistenti o nuovi, o rimuovendo contenuti che non sono più necessari. Quando si sceglie di rimuovere un singolo elemento di contenuto o un insieme di essi, gli ingegneri della sicurezza possono eliminare questo rilevamento solo dall Inventario elenco o anche dall’istanza SIEM o XDR.

Preset e Filtri

Con Continuous Content Management, i team di sicurezza possono personalizzare le condizioni di distribuzione automatica dei contenuti per soddisfare i loro requisiti di sicurezza ed evitare una grande quantità di falsi positivi.

Filtri consentono ai team di sicurezza di aggiungere condizioni extra alla logica di rilevamento prima della distribuzione, come l’inclusione/esclusione di utenti specifici, host, ecc.

Con i Preset, gli ingegneri della sicurezza possono personalizzare la distribuzione automatizzata tenendo conto delle peculiarità delle impostazioni della loro istanza SIEM o XDR. Collegare i Preset ai Lavori aiuta a semplificare le operazioni di gestione dei contenuti ed evitare errori che possono verificarsi quando si modifica manualmente il contenuto.

Storico

I team di sicurezza possono visualizzare la cronologia completa delle azioni automatiche e manuali all’interno del modulo Continuous Content Management. Qui, gli ingegneri possono esaminare tutti i log dei Lavori, delle distribuzioni manuali e degli aggiornamenti. Selezionando le preferenze di visualizzazione dei log, i team possono concentrarsi su log che sono più informativi per loro – per focalizzarsi sulle attività correlate ai contenuti, come i risultati della distribuzione, e mantenere nascosti i Service Logs dalla Storico pagina. Continuous Content Management consente anche di sfogliare la cronologia dei log e di esaminare log specifici utilizzando la sintassi delle query di ricerca Lucene.

Informazioni sulle azioni registrate nella Cronologia sono anche disponibili, con dettagli correlati allo stato delle distribuzioni di contenuti – risultati di una distribuzione riuscita o dettagli di problemi ed errori per un tentativo di distribuzione del contenuto fallito.

Cerchi i migliori contenuti SOC compatibili con le soluzioni SIEM, EDR e NTDR in uso? Esplora la SOC Prime Platform per affrontare i tuoi casi d’uso personalizzati, potenziare la scoperta delle minacce e la caccia alle minacce, e ottenere una visualizzazione completa dei progressi del tuo team. Appassionato di caccia alle minacce e desideroso di contribuire alla prima libreria di contenuti SOC del settore? Unisciti al nostro Threat Bounty Program!

Vai alla Piattaforma Unisciti al Threat Bounty