Integrazione di Sumo Logic con il Threat Detection Marketplace

SOC Prime si impegna sempre a estendere il supporto per i più popolari strumenti SIEM, EDR, NSM e altri strumenti di sicurezza, inclusi soluzioni cloud-native, per aggiungere maggiore flessibilità al Threat Detection Marketplace. Questo permette ai professionisti della sicurezza di utilizzare gli strumenti che preferiscono di più e risolve il problema della migrazione a un altro ambiente back-end.

Siamo entusiasti di annunciare il rilascio della nostra integrazione con il SIEM cloud-native Sumo Logic che offre capacità di ricerca e distribuzione avanzate, consentendo ai professionisti della sicurezza di approfondire la tua istanza di Sumo Logic o Cloud Security Enterprise (CSE) al volo.

Sumo Logic è una piattaforma cloud-native che aiuta a potenziare la tua analisi della sicurezza e consente di ridurre MTTI e MTTR attraverso il monitoraggio in tempo reale.

L’integrazione con la piattaforma cloud-native Sumo Logic è un ulteriore passo verso una difesa informatica proattiva sfruttando l’analitica in tempo reale della piattaforma con le capacità di machine learning e intelligence sulle minacce.

Threat Detection Marketplace attualmente offre oltre 6.000 voci di contenuto per Sumo Logic e Sumo Logic CSE che affrontano gli ultimi exploit, CVE, malware e TTP e coprono 216 delle 249 tecniche MITRE ATT&CK®:

• scheda Query nella pagina della regola, e quindi fai clic sul
• Query CSE
• Regole CSE

Configurazione dell’Integrazione Sumo Logic

SePer eseguire ricerche o distribuire contenuti di rilevamento delle minacce adattati a questa soluzione cloud-native è necessaria una corretta configurazione di Sumo Logic. Per configurare l’integrazione con Sumo Logic, seleziona Configurazione dell’Integrazione della Piattaforma dal menu delle impostazioni utente.

Nelle Configurazione dell’Integrazione della Piattaforma impostazioni, puoi impostare due integrazioni differenti a seconda del tipo di contenuto Sumo Logic che desideri distribuire:

• Per le query, devi impostare l’integrazione con Sumo Logic
• Per le query e le regole CSE, devi impostare l’integrazione con il Sumo Logic CSE

Per configurare l’integrazione per Sumo Logic CSE, seleziona il checkbox Abilita Configurazione Sumo Logic CSE, e riempi i campi richiesti URL del Portale and Token API e quindi fai clic sul pulsante Salva Modifiche. Dopo la configurazione, vedrai una notifica di successo, e sarai pronto a iniziare la tua esperienza di rilevamento delle minacce!

Once configured, you will see the success notification, and you’re all set to kick off your threat detection experience!

Distribuzione di Contenuti Sumo Logic, Regole e Query CSE sulla Tua Istanza

Puoi filtrare tutto il contenuto del Threat Detection Marketplace per le query Sumo Logic e le regole e query CSE usando il pannello Filtro per ottenere contenuti più mirati specifici per la piattaforma. Selezionando la regola specifica che può essere adattata al formato del SIEM Sumo Logic o Sumo Logic CSE, puoi ottenere il massimo della distribuzione di contenuti ottimizzati direttamente nella tua istanza SIEM.

By selecting the specific rule that can be adjusted to the Sumo Logic or Sumo Logic CSE SIEM  format, you can get the most of the streamlined content deployment right into your SIEM instance.

Ricerca e Distribuzione di Query

Threat Detection Marketplace permette di cercare o distribuire query Sigma nella tua istanza Sumo Logic. Seleziona la scheda Query nella pagina della regola, e quindi fai clic sul pulsante Cerca/Distribuisci su Sumo Logic. Nella finestra pop-up che appare, controlla la query che stai per cercare o distribuire, e apporta modifiche se necessario. Seleziona l’azione che desideri eseguire con la query facendo clic sul pulsante corrispondente: button. 

On the pop-up window that appears, check the query you are going to search or deploy, and make changes to it if needed. Select the action your are going to perform with the query by clicking the corresponding button:

• Cerca nel Mio Sumo Logic (copre il periodo di 24 ore)
• Distribuisci nel Mio Sumo Logic

Una volta che la distribuzione o la ricerca della query ha successo, vedrai una notifica di successo che consente di approfondire la tua istanza Sumo Logic con la query distribuita o eseguita.

La notifica di distribuzione avvenuta con successo includerà anche un link che ti conduce alla directory all’interno della tua istanza Sumo Logic con la query distribuita.

Distribuzione di Regole e Query CSE

L’integrazione avanzata di Sumo Logic con il Threat Detection Marketplace consente di distribuire le regole CSE al volo direttamente nella tua istanza Sumo Logic CSE. La distribuzione automatizzata delle regole è possibile con l’integrazione API CSE abilitata per le regole CSE.

Per provare la distribuzione semplificata delle regole, seleziona la scheda Regola CSE e fai clic su Distribuisci su Sumo Logic CSE Ti sposterai quindi direttamente alla tua istanza Sumo Logic CSE dove potrai visualizzare e gestire gli elementi di contenuto distribuiti. Dopo la configurazione, vedrai una notifica di successo, e sarai pronto a iniziare la tua esperienza di rilevamento delle minacce!

You will then move right to your Sumo Logic CSE instance where you can view and manage your deployed content items.

Le query CSE possono essere distribuite solo manualmente poiché non esiste una configurazione API disponibile per questo tipo di contenuto. Per distribuire le query CSE, seleziona la scheda Query CSE, fai clic sul pulsante Copia negli Appunti, e quindi incolla il codice direttamente nella tua istanza Sumo Logic CSE nella nuova condizione della Regola. Copy to Clipboard button, and then paste the code right into your Sumo Logic CSE instance to the new Rule condition. 

Cerchi più contenuti di rilevamento delle minacce? Iscriviti a Threat Detection Marketplace per sfruttare oltre 70.000 regole, query, playbook e altri elementi di contenuto curati che affrontano gli attacchi più recenti e sono personalizzati per il tuo ambiente.