Perché SOC Prime ha creato la gestione continua dei contenuti

[post-views]
Dicembre 16, 2020 · 4 min di lettura
Perché SOC Prime ha creato la gestione continua dei contenuti

Prima del rilascio del modulo Continuous Content Management (CCM), i nostri utenti del Threat Detection Marketplace dovevano scaricare manualmente gli elementi di contenuto e importarli nel loro SIEM. Siamo grandi fan dell’approccio di Anton Chuvakin “Detection as Code” alla rilevazione delle minacce, che ci ha spinto a portare un’automazione avanzata alla distribuzione dei contenuti SOC. Questo significava ripensare a come ottimizzare le operazioni di rilevamento delle minacce e ottenere capacità di sicurezza avanzate. Ora, con il lancio del CCM, i nostri clienti possono distribuire automaticamente gli elementi di contenuto direttamente nel vostro SIEM, apportare modifiche al volo e redistribuire queste modifiche alla piattaforma che utilizzate.

CCM è disponibile per Microsoft Azure Sentinel ed Elastic Cloud, con supporto per Sumo Logic e altri SIEM nativi su cloud in arrivo molto presto. A seconda della soluzione SIEM in uso, è possibile distribuire elementi di contenuto dei seguenti tipi:

  • Per Azure Sentinel
    • Query
    • Regola
    • Funzioni/Parser
  • Per Elastic Cloud
    • Allerta Regole
    • Watcher
    • Ricerca Salvata

Come Configurare l’Integrazione del Continuous Content Management

Prima di configurare CCM, è necessario configurare l’integrazione per Azure Sentinel o Elastic Cloud dalla pagina di Automazione o dalle impostazioni utente:

  1. pagina di Automazione > Integrazione
  2. Impostazioni Utente > Configurazione dell’Integrazione Piattaforma

A seconda del tipo di contenuto e del SIEM, devono essere soddisfatti requisiti di sistema specifici.

Microsoft Azure Sentinel

Per la piattaforma Azure Sentinel, è necessario avere accesso API alla sottoscrizione Azure Sentinel con i permessi pertinenti per leggere e distribuire risorse nell’area di lavoro appropriata:

  • ID Cliente
  • Segreto Cliente
  • ID Tenant
  • ID Sottoscrizione
  • Gruppo di Risorse
  • Spazio di Lavoro

Per ricevere queste credenziali:

  • Clicca sul link Come Ottenere le Credenziali nell’angolo in basso a sinistra della Configurazione dell’Integrazione Piattaforma pagina.

  • Segui le linee guida descritte nella finestra pop-up corrispondente.

Elastic Cloud

Per la piattaforma Elastic Cloud, è necessario avere accesso a:

  • Kibana per distribuire Ricerche e Allerte Regole
    • Host e porta Kibana
    • Login
    • Password
    • Nome Spazio
    • Modelli di Indice

Per ricevere l’ID del Modello di Indice, clicca sulla pagina Come Ottenere l’ID del Modello di Indice nell’angolo in basso a sinistra della Configurazione dell’Integrazione Piattaforma e segui le linee guida che vedrai.

  • API Elasticsearch per distribuire i Watcher
    • host e porta Elasticsearch
    • Login e password O una Chiave API

Una volta configurato, CCM è disponibile dalle sezioni pagina di Automazione o dalle impostazioni utente:

  1. pagina di Automazione > Gestione dei Contenuti & Automazione sezioni
  2. Impostazioni Utente > Gestione Continua dei Contenuti

The Gestione dei Contenuti la sezione include le seguenti funzionalità:

  • Elenchi per una corretta organizzazione del contenuto
  • Inventario per una panoramica completa del contenuto
  • Storia per una registrazione efficace di tutte le azioni di gestione dei contenuti (lavori, distribuzioni manuali, aggiornamenti dei contenuti, ecc.)

The pagina di Automazione la sezione include:

  • Lavori per la distribuzione automatizzata delle regole e altre azioni di gestione dei contenuti
  • Modelli per creare e gestire elementi di contenuto basati su modelli personalizzati e collegarli ai lavori

Pronto per provare CCM? Se hai il piano di abbonamento Universe, puoi ottenere il massimo da CCM senza alcun costo come parte di questo piano. In alternativa, puoi acquistare l’abbonamento CCM come licenza separata. Contatta sales@socprime.com per maggiori dettagli.

Tuttavia, c’è un’altra opzione a vostra disposizione. SOC Prime cerca sempre di offrire maggiori opportunità ai professionisti della sicurezza per esplorare la comunità e ottenere valore dai contenuti e dalle capacità della piattaforma SOC disponibili. Il modulo CCM è ora disponibile anche come parte del Free Trial, quindi gli utenti del Threat Detection Marketplace con l’abbonamento Community possono provare il sistema di gestione dei contenuti completamente automatizzato per un periodo di 14 giorni. Per attivare il modulo CCM come parte di una prova gratuita, è necessario selezionare Profilo > Impostazioni della Prova, e quindi cliccare sul pulsante Richiedi Prova accanto all’opzione di prova. Gestione Continua dei Contenuti opzione di prova.

L’accesso di prova gratuito al modulo CCM può essere attivato sia dopo una chiamata con il rappresentante del team di vendita sia direttamente dopo l’approvazione dell’Admin di Threat Detection Marketplace.

Iscriviti a Threat Detection Marketplace per ottenere valore dai contenuti SOC curati e sfruttare le capacità di rilevamento e risposta delle minacce della piattaforma.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro