Ative a Gestão Contínua de Conteúdo com a Plataforma SOC Prime

Com o lançamento da Plataforma SOC Prime para defesa cibernética colaborativa, caça às ameaças e descoberta de ameaças, as capacidades de automatizar completamente o streaming de conteúdo de detecção também foram elevadas a um novo nível. Agora, o Gerenciamento Contínuo de Conteúdo módulo está disponível para todos os usuários registrados na Plataforma SOC Prime com um endereço de e-mail corporativo, em uma disponibilidade baseada em limiar dependendo do plano de Assinatura ativo.

Com um amplo conjunto de soluções de segurança suportadas para integração, o Gerenciamento Contínuo de Conteúdo permite operações de detecção de ameaças simplificadas para as seguintes plataformas de SIEM & XDR baseadas em nuvem:

• Microsoft Azure Sentinel
• Elastic Cloud
• Humio
• Sumo Logic
• Google Chronicle Security

Além da pilha de SIEM & XDR nativa da nuvem, o módulo de Gerenciamento Contínuo de Conteúdo também suporta soluções Splunk e Elastic Stack on-premise. Aproveitando o Aplicativo SOC Prime CCM para Splunk, engenheiros de segurança podem transmitir continuamente novas regras e atualizar as existentes em sua instância on-premise do Splunk. Confira as diretrizes de instalação e obtenha o Aplicativo SOC Prime CCM para Splunk diretamente do Splunkbase. O streaming de conteúdo de detecção para as instâncias on-premise do Splunk e Elastic Stack está disponível via Ferramenta de Integração da API TDM.

O suporte nativo da nuvem para o Aplicativo Splunk está chegando em breve, o que permitirá que engenheiros de segurança transmitam detecções em sua instância Splunk na nuvem via a API do SOC Prime Threat Detection Marketplace.

Listas de Conteúdo

Para implantar automaticamente detecções na solução de segurança em uso, as equipes de SOC podem organizar o conteúdo em Listas de Conteúdoestruturado. A SOC Prime organizou Listas de Conteúdo Global com detecções que abordam as áreas de preocupação mais comuns.

Essas listas estão disponíveis para todas as equipes de segurança que usam a Plataforma SOC Prime. De maneira semelhante, engenheiros de segurança podem criar Listas de Conteúdo e compartilhá-las com suas equipes dentro da Plataforma SOC Prime.

• Com Listas de Conteúdo Estático, as equipes podem organizar conteúdo selecionado para certos propósitos.
• Listas de Conteúdo Dinâmico permitem entregar continuamente detecções atualizadas e lançadas conforme os parâmetros pré-configurados do conteúdo necessário.
• Com Listas de Conteúdo de Inventário, engenheiros de segurança podem implantar conteúdo em suas diferentes instâncias de SIEM & XDR separadamente via um Trabalho separado, bem como manter a cópia local das alterações feitas no conteúdo de detecção do Inventário página.

As equipes de SOC podem criar novas Listas do zero ou fazer cópias das Listas existentes e personalizá-las. Além disso, para tirar o máximo proveito da entrega automatizada e adoção de conteúdo do Threat Detection Marketplace, engenheiros de segurança podem especificar parâmetros de filtragem dentro da Lista para receber apenas o conteúdo que atenda às suas necessidades.

O Gerenciamento Contínuo de Conteúdo permite que engenheiros de segurança administrem o processo de adoção automatizada de conteúdo e obtenham uma imagem clara dos resultados do deployment.

Trabalhos

Ao agendar e executar Trabalhos, as equipes de SOC podem implantar automaticamente as detecções mais recentes em suas instâncias de SIEM ou XDR. Para adicionar mais flexibilidade às operações de gerenciamento de conteúdo, um único Trabalho pode ser criado especificamente para uma determinada Lista de Conteúdo, vinculada à plataforma selecionada e a um tipo específico de conteúdo. Da mesma forma, múltiplos Trabalhos podem ser vinculados a uma única Lista e enviados para as mesmas ou diferentes instâncias de SIEM ou XDR. Para mais conveniência, os Trabalhos podem ser configurados com base em um esquema de dados personalizado para ter mais controle sobre a implantação de conteúdo e transmissão de conteúdo no formato de esquema de dados preferido. Além disso, engenheiros de segurança podem configurar Trabalhos para implementação de conteúdo com base nos formatos alternativos de tradução para os ambientes Azure Sentinel, Sumo Logic e Elastic Cloud.

Na Trabalhos página, as equipes podem acompanhar os deployments bem-sucedidos e falhos de Listas de Conteúdo executados por um determinado trabalho e facilmente depurar logs. No caso de problemas de deployment com uma determinada Lista de Conteúdo, engenheiros de segurança podem detalhar a página de Histórico e encontrar os detalhes de erro de cada item de conteúdo dentro da Lista.

Inventário

Com Inventário, as equipes de SOC podem revisar e atualizar detecções relacionadas à instância de SIEM ou XDR selecionada e vinculada a um ambiente específico. Aqui elas podem rastrear o autor do conteúdo e sua fonte, a data do deployment, a contagem de acessos e outros detalhes de cada item de conteúdo na Inventário lista. Engenheiros de segurança também podem atualizar detecções diretamente da Inventário página e então implantar as alterações em seu ambiente.

The Inventário página permite gerenciar itens de conteúdo selecionados em um único lugar habilitando ou desabilitando-os, adicionando à Lista de Conteúdo existente ou nova, ou removendo conteúdo que não é mais necessário. Ao optar por remover um único item de conteúdo ou um conjunto deles, engenheiros de segurança podem excluir essa detecção apenas da Inventário lista ou da instância de SIEM ou XDR também.

Predefinições e Filtros

Com o Gerenciamento Contínuo de Conteúdo, as equipes de segurança podem personalizar condições de deployment automatizado de conteúdo para atender aos seus requisitos de segurança e evitar grandes quantidades de falsos positivos.

Filtros permitem que as equipes de segurança adicionem condições extras à lógica de detecção antes do deployment, como incluir/excluir usuários específicos, hosts, etc.

Com Predefinições, engenheiros de segurança podem personalizar o deployment automatizado levando em conta as peculiaridades das configurações de sua instância de SIEM ou XDR. Vincular Predefinições a Trabalhos ajuda a simplificar as operações de gerenciamento de conteúdo e evitar erros que podem ocorrer quando se edita manualmente o conteúdo.

Histórico

As equipes de segurança podem visualizar o histórico completo de ações automáticas e manuais dentro do módulo de Gerenciamento Contínuo de Conteúdo. Aqui engenheiros podem examinar todos os logs de Trabalhos, deployments manuais e atualizações. Selecionando preferências de exibição de logs, as equipes podem examinar logs que são mais informativos para elas — para se concentrar em atividades relacionadas a conteúdo, como resultados de deployment, e manter os Logs de Serviço ocultos da Histórico página. O Gerenciamento Contínuo de Conteúdo também permite navegar no histórico de logs e examinar logs específicos usando a sintaxe de consulta de busca Lucene.

As informações sobre as ações registradas no Histórico também estão disponíveis, com detalhes relacionados a status sobre deployments de conteúdo — resultados de um deployment bem-sucedido, ou detalhes de problema e erro para uma tentativa de deployment de conteúdo falha.

Procurando pelo melhor conteúdo SOC compatível com suas soluções de SIEM, EDR e NTDR em uso? Explore a Plataforma SOC Prime para atender seus casos de uso personalizados, aumentar a descoberta de ameaças e a caça de ameaças, e obter uma visualização completa do progresso de sua equipe. Apaixonado por caça a ameaças e ansioso para contribuir para a primeira biblioteca de conteúdo SOC da indústria? Participe do nosso Programa Threat Bounty!

Ir para a Plataforma Participar do Threat Bounty