SOC Prime Introduce la Gestione Continua dei Contenuti

SOC Prime introduce un sistema completamente automatizzato di gestione continua dei contenuti

La Gestione Continua dei Contenuti (CCM) è un modulo aggiuntivo per il Marketplace di Rilevamento delle Minacce di SOC Prime. Nel rilascio di novembre, abbiamo introdotto il sistema di Gestione Automatica dei Contenuti per creare una piattaforma più intuitiva. Qui andremo a coprire le capacità principali del modulo CCM e come il sistema di Gestione dei Contenuti completamente automatizzato consente agli esperti di sicurezza di trasmettere i contenuti SOC più recenti direttamente nella loro istanza SIEM e portare la gestione dei contenuti a un nuovo livello.

Leggi il nostro post sul blog su come accedere al modulo e impostare correttamente le integrazioni per il tuo SIEM per abilitare la gestione continua dei contenuti.

Organizzare i Contenuti SOC in Elenchi di Contenuti Statici e Dinamici

La nuova funzionalità del modulo di Gestione Continua dei Contenuti consente ai professionisti della sicurezza che utilizzano Microsoft Azure Sentinel ed Elastic Cloud di organizzare tutti i loro contenuti SOC sotto forma di elenchi di contenuti ben strutturati. È possibile applicare la personalizzazione alle impostazioni ambientali e alle preferenze di contenuto su:

• Elenchi dinamici che sono continuamente aggiornati sulla base dei tag precedentemente aggiunti
• Elenchi statici che visualizzano tutte le preferenze salvate dell’utente

Tutti gli elenchi sono raggruppati nel seguente modo:

• All — tutti gli elenchi di contenuti (sia statici che dinamici)
• My — elenchi di contenuti creati dallo specifico utente
• Consigliato — elenchi di contenuti consigliati dagli Admin del Marketplace di Rilevamento delle Minacce. Normalmente affrontano minacce recenti e di attualità o possiedono un altro valore tangibile per i professionisti della sicurezza.

I professionisti della sicurezza possono cercare gli elenchi specifici per:

• Nome
• Tipo di elenco (statico o dinamico)
• Numero di elementi contenuti nell’elenco

Le seguenti azioni sono disponibili con gli elenchi di contenuti a seconda dei loro tipi:

• Con tutti gli elenchi di contenuti:
  • Creare nuovi elenchi
  • Modificare elenchi
  • Cancellare elenchi
  • Copiare elenchi
• Solo con elenchi di contenuti statici
  • Aggiungere elementi all’elenco dei contenuti manualmente
  • Eliminare elementi specifici
• Solo con elenchi consigliati
  • Copiare elenchi*

*Gli elenchi consigliati possono essere modificati solo dagli Admin del Marketplace di Rilevamento delle Minacce. Se non hai privilegi di Admin, non potrai modificare o cancellare questi elenchi, solo copiarli.

Puoi eliminare elementi specifici solo dagli elenchi di contenuti statici. Gli elenchi dinamici possono essere cancellati solo con tutti gli elementi che contengono.

Copiare Elenchi di Contenuti

Dove prima dovevi creare elenchi di contenuti da zero, ora puoi semplificare la creazione di nuovi elenchi di contenuti basandoti sugli elementi già esistenti. Questo può essere utile quando hai bisogno di creare un nuovo elenco che differisce solo leggermente da uno già esistente. Puoi creare una copia di un elenco simile selezionando l’opzione Copia Elenco , aggiungere tutte le modifiche necessarie e salvare la copia dell’elenco. Dopo aver salvato, l’elemento sarà aggiunto alla pagina Elenchi di Contenuti con la parola “copia” nel nome dell’elenco.

Distribuzione Automatica di Contenuti e Aggiornamenti Tramite Lavori

Nella pagina Jobs , puoi ora distribuire nuovi ed aggiornare tutti gli elementi di contenuto esistenti disponibili nella tua istanza di Azure Sentinel o Elastic Cloud impostando e programmando lavori per gli elenchi di contenuti creati. Questo consente di visualizzare tutti i log delle azioni e tenere traccia di tutte le distribuzioni di contenuti riuscite e fallite.

Un lavoro confronta ogni elemento di contenuto dall’elenco di contenuti con tutti i contenuti esistenti che sono elencati sulla pagina Inventario . Se non vi è tale elemento di contenuto sulla pagina Inventario , tale elemento sarà automaticamente distribuito nel profilo API configurato del tuo SIEM.

Un lavoro può essere eseguito nelle seguenti condizioni:

• Se l’inventario ha avuto successo almeno una volta nelle ultime 24 ore

Una volta abilitato sulla pagina Jobs accendendo l’interruttore nella colonna corrispondente

NUOVO: Creazione e Collegamento di Modelli di Regole Personalizzati ai Lavori

La nuova funzionalità nell’ultimo rilascio del modulo CCM consente di creare e gestire modelli di regole personalizzati e collegarli ai nuovi lavori creati. Questo aiuta a semplificare le operazioni di gestione dei contenuti ed evitare errori che possono verificarsi quando si modifica manualmente la regola.

Puoi creare modelli di regole per le seguenti piattaforme:

• Azure Sentinel
• Elastic
• Humio
• Sumo Logic*

*Puoi creare modelli di regole per tutte queste piattaforme, ma attualmente puoi collegare e quindi eseguire lavori associati solo per Azure Sentinel ed Elastic Cloud.

Per creare un nuovo modello di regole:

1. Seleziona Automazione > Modelli.
2. Clicca sul pulsante Aggiungi Modello di Regole .
3. Seleziona la piattaforma supportata e il tipo di contenuto (se applicabile).
4. Clicca sul pulsante Aggiungi nuovo modello opzione dal Menu Modello a discesa.
5. Fornisci il nome del modello di regole e scegli se desideri condividerlo con la tua azienda.
6. Compila tutti i campi richiesti, che differiranno a seconda della piattaforma che hai selezionato, come Periodo di Query, Gravità (“Bassa”, “Media”, “Alta”, “Critica”), Stato Regola (“Abilitato”, “Disabilitato”) e così via.
7. Opzionalmente, puoi configurare le eccezioni cliccando sulle Impostazioni Eccezioni .
8. Clicca sul pulsante Salva Modifiche pulsante e il modello di regole creato apparirà in alto nella pagina Modelli .

Tutti i modelli di regole disponibili sono elencati su una pagina separata all’interno del modulo di Gestione Continua dei Contenuti: Modelli Modelli creati da te

• Modelli creati dai membri del tuo team e condivisi nella tua organizzazione
• Dopo aver creato un nuovo modello di regole, puoi quindi collegarlo al lavoro specifico prima di eseguire questo lavoro per la distribuzione automatica dei contenuti o altre azioni.

Puoi anche gestire i modelli di regole nel seguente modo:

You can also manage rule templates in the following way:

• Modifica del modello
• Cancella il modello*

*Eliminando il modello di regole, tutti i lavori attivi collegati verranno disabilitati.

Gli utenti del Marketplace di Rilevamento delle Minacce possono eseguire le seguenti azioni con il lavoro creato:

• Modifica questo lavoro
• Debug log per distribuzioni di elementi di contenuto fallite
• Cancellare questo lavoro dall’elenco

Revisione dell’Inventario dei Contenuti nel Tuo SIEM

Nella pagina Inventario pagina, puoi esaminare e aggiornare tutti gli elementi di contenuto disponibili nella tua istanza di Azure Sentinel o Elastic Cloud. L’inventario è programmato per funzionare ogni ora. Gli utenti non possono modificare queste impostazioni.

Modifica di un Singolo Elemento di Contenuto

Puoi aggiornare gli elementi di contenuto che provengono da varie fonti, anche quelli che non derivano dal Marketplace di Rilevamento delle Minacce selezionando l’opzione Modifica Contenuto dal menu azione.

Dopo aver apportato modifiche al codice sorgente, puoi quindi distribuirle immediatamente nella tua istanza SIEM con un solo clic.

Azioni con Più Elementi di Contenuto

Puoi anche gestire più elementi di contenuto contemporaneamente selezionando una delle azioni disponibili:

• Abilita Tutto — attiva tutti gli elementi di contenuto selezionati che erano disabilitati
• Disabilita Tutto — disattiva tutti gli elementi di contenuto selezionati che erano abilitati
• Elimina — elimina tutti gli elementi di contenuto selezionati
• Elimina Cancellati — rimuovi tutti gli elementi di contenuto che sono stati contrassegnati come “Eliminati” (eliminati dalla tua istanza di Azure Sentinel o Elastic Cloud) dalla pagina Inventario page

Contrassegnare il contenuto come “Eliminato” aiuta a controllare tutti gli elementi di contenuto che sono stati rimossi dalla tua istanza SIEM. Cliccando sul pulsante Elimina Cancellati , questi elementi di contenuto non saranno più elencati sulla pagina Inventario , ma se sono ancora disponibili nella tua istanza SIEM, appariranno nuovamente qui sulla pagina Inventario .

Registrazione Semplificata con la Pagina della Cronologia

Ogni azione automatizzata o manuale all’interno del modulo CCM viene registrata con i dettagli dei risultati e può essere esaminata sulla pagina Cronologia . Qui puoi vedere tutti i log dai lavori, distribuzioni manuali e aggiornamenti.

The Registro Inventario l’interruttore sulla pagina Cronologia consente di controllare quali log visualizzare. Quando l’interruttore è spento, sarai in grado di concentrarti solo sui log di distribuzione piuttosto che essere distratto da tutti i log inviati dal sistema.

Per visualizzare il risultato della distribuzione per ciascun elemento di contenuto sulla pagina Cronologia , clicca sullo stato Risultato Distribuzione nella riga corrispondente all’elemento di contenuto che desideri ispezionare. Vedrai il popup di notifica con i dettagli della distribuzione della regola (riuscita o fallita).

In caso di risultato positivo nella distribuzione, riceverai una notifica che il contenuto è stato distribuito con successo nel tuo ambiente SIEM con i dettagli della richiesta HTTP.

Se la distribuzione ha fallito, verrà notificato un problema con i dettagli dell’errore, inclusa la richiesta HTTP non riuscita.

Capacità di Ricerca Avanzata con la Sintassi di Query Lucene

Puoi utilizzare la sintassi di query Lucene sulle pagine Inventario and Cronologia usando campi supportati nelle query per cercare il contenuto SOC specifico. Ad esempio, per visualizzare solo le query per la piattaforma Azure Sentinel, usa la seguente sintassi che include il campo content.type e il suo valore predefinito:

content.type:”query”

Puoi cercare il contenuto utilizzando tutti i campi disponibili per la ricerca avanzata con le query Lucene.

Vuoi approfondire i dettagli? Consulta la Guida CCM che abbiamo aggiunto al Centro Assistenza, così gli utenti del Marketplace di Rilevamento delle Minacce che sono nuovi in questo modulo possono esplorare tutte le capacità di gestione dei contenuti che offre per un’esperienza di piattaforma più fluida.

Visita il nostro sito web per maggiori dettagli su come acquistare il modulo CCM o provarlo gratuitamente.

Nuovo al Marketplace di Rilevamento delle Minacce? Iscriviti per potenziare le tue capacità di sicurezza con l’accesso a oltre 85.000 algoritmi di rilevamento e risposta alle minacce, modelli di apprendimento automatico, dashboard, parser e configurazioni convertibili in oltre 20 tecnologie SIEM, EDR e NTDR e mappate a MITRE ATT&CK.®.