Integração do Sumo Logic com o Marketplace de Detecção de Ameaças

[post-views]
Setembro 25, 2020 · 5 min de leitura
Integração do Sumo Logic com o Marketplace de Detecção de Ameaças

SOC Prime está sempre se esforçando para estender o suporte para os SIEMs, EDRs, NSMs mais populares e outras ferramentas de segurança, incluindo soluções nativas da nuvem, para adicionar mais flexibilidade ao Threat Detection Marketplace. Isso permite que os profissionais de segurança usem as ferramentas que mais preferem e resolve o problema de migração para outro ambiente de back-end.

Estamos entusiasmados em anunciar o lançamento da nossa integração com o SIEM nativo da nuvem Sumo Logic, oferecendo capacidades aprimoradas de busca e implantação que permitem que os profissionais de segurança aprofundem sua instância Sumo Logic ou Cloud Security Enterprise (CSE) imediatamente.

Sumo Logic é uma plataforma nativa da nuvem que ajuda a potencializar suas análises de segurança e possibilita a redução do MTTI e MTTR por meio de monitoramento em tempo real.

A integração com a plataforma nativa da nuvem Sumo Logic é mais um passo em direção à defesa cibernética proativa ao aproveitar as análises em tempo real da plataforma com recursos de aprendizado de máquina e inteligência de ameaças.

O Threat Detection Marketplace atualmente oferece mais de 6.000 itens de conteúdo para Sumo Logic e Sumo Logic CSE que abordam os mais recentes exploits, CVEs, malware e TTPs e cobrem 216 de 249 técnicas do MITRE ATT&CK®:

  • Consultas
  • Consultas CSE
  • Regras CSE

Configurando a Integração Sumo Logic

Sedeseja buscar ou implantar conteúdo de detecção de ameaças adaptado a esta solução nativa da nuvem, é necessário configurar adequadamente o Sumo Logic. Para configurar a integração Sumo Logic, selecione Configuração de Integração da Plataforma no menu de configurações do usuário.

Nas Configuração de Integração da Plataforma configurações, você pode configurar duas integrações diferentes dependendo do tipo de conteúdo Sumo Logic que deseja implantar:

  • Para consultas, você precisa configurar a integração Sumo Logic
  • Para consultas e regras CSE, você precisa configurar a integração com o Sumo Logic CSE

Para configurar a integração com o Sumo Logic CSE, selecione a caixa de seleção Habilitar Configuração do Sumo Logic CSE , e preencha o URL do Portal and , Token de API , e clique no botão Salvar Alterações

.

Implantando Conteúdo Sumo Logic, Regras e Consultas CSE na Sua Instância

Você pode filtrar todo o conteúdo do Threat Detection Marketplace pelas consultas e regras CSE do Sumo Logic usando o Painel de Filtros para obter conteúdo mais direcionado e específico para a plataforma.

Ao selecionar a regra específica que pode ser ajustada ao formato SIEM do Sumo Logic ou do Sumo Logic CSE, você pode obter o máximo da implantação de conteúdo simplificada diretamente na sua instância SIEM.

Procurando e Implantando Consultas

O Threat Detection Marketplace permite buscar ou implantar consultas Sigma na sua instância Sumo Logic. Selecione a guia Consulta na página da regra, e clique no botão Buscar/Implantar no Sumo Logic .

Na janela pop-up que aparece, marque a consulta que você vai buscar ou implantar, e faça alterações se necessário. Selecione a ação que você vai realizar com a consulta clicando no botão correspondente:

  • Buscar no Meu Sumo Logic (cobre o período de 24 horas)
  • Implantar no Meu Sumo Logic


Uma vez que a implantação ou busca da consulta seja bem-sucedida, você verá uma notificação de sucesso que permite um aprofundamento na sua instância Sumo Logic com a consulta implantada ou executada.

A notificação de implantação bem-sucedida também incluirá um link que leva você ao diretório dentro da sua instância Sumo Logic com a consulta implantada.

Implantando Regras e Consultas CSE

A integração aprimorada com o Sumo Logic no Threat Detection Marketplace permite implantar regras CSE imediatamente direto na sua instância Sumo Logic CSE. A implantação automatizada de regras é possível com a integração habilitada da API CSE para as regras CSE.

Para experimentar a implantação de regras simplificada, selecione a guia Regra CSE e clique no botão Implantar no Sumo Logic CSE Salvar Alterações


.


Você será então movido diretamente para sua instância Sumo Logic CSE onde poderá visualizar e gerenciar seus itens de conteúdo implantados. Consultas CSE podem ser implantadas apenas manualmente, pois não há configuração de API disponível para este tipo de conteúdo. Para implantar consultas CSE, selecione a guia Consulta CSE , clique no botão Copiar para a Área de Transferência

, e cole o código diretamente na sua instância Sumo Logic CSE na nova condição da Regra. Threat Detection Marketplace para aproveitar mais de 70.000 regras, consultas, playbooks e outros itens de conteúdo curado que visam os ataques mais recentes e são personalizados para o seu ambiente.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Integração entre SOC Prime e Humio: Destaques Técnicos
Blog, Plataforma SOC Prime — 12 min de leitura
Integração entre SOC Prime e Humio: Destaques Técnicos
Alla Yurchenko