Por Que a SOC Prime Criou o Gerenciamento Contínuo de Conteúdo

[post-views]
Dezembro 16, 2020 · 4 min de leitura
Por Que a SOC Prime Criou o Gerenciamento Contínuo de Conteúdo

Antes do lançamento do módulo de Gerenciamento Contínuo de Conteúdo (CCM), nossos usuários do Threat Detection Marketplace precisavam baixar itens de conteúdo e importá-los manualmente em seus SIEM. Somos grandes fãs do “Detecção como Código” de Anton Chuvakin, o que nos motivou a trazer automação avançada para a implantação de conteúdo de SOC. Isso significava repensar como simplificar as operações de detecção de ameaças e alcançar capacidades de segurança aprimoradas. Agora, com o lançamento do CCM, nossos clientes podem implantar automaticamente itens de conteúdo diretamente em seu SIEM, fazer alterações neles rapidamente e reimplantar essas alterações na plataforma que usam.

O CCM está disponível para Microsoft Azure Sentinel e Elastic Cloud, com suporte para Sumo Logic e outros SIEM nativos da nuvem chegando em breve. Dependendo da solução SIEM em uso, você pode implantar itens de conteúdo dos seguintes tipos:

  • Para Azure Sentinel
    • Consulta
    • Regra
    • Funções/Parseadores
  • Para Elastic Cloud
    • Alerta de Regra
    • Watcher
    • Pesquisa Salva

Como configurar a Integração de Gerenciamento Contínuo de Conteúdo

Antes de configurar o CCM, você precisa configurar a integração para Azure Sentinel ou Elastic Cloud a partir da página de Automação ou configurações do usuário:

  1. página de Automação > Integração
  2. Configurações do Usuário > Configuração de Integração da Plataforma

Dependendo do tipo de conteúdo e SIEM, requisitos específicos do sistema precisam ser atendidos.

Microsoft Azure Sentinel

Para a plataforma Azure Sentinel, você precisa ter acesso à API da assinatura do Azure Sentinel com as permissões relevantes para ler e implantar recursos no espaço de trabalho apropriado:

  • ID do Cliente
  • Segredo do Cliente
  • ID do Locatário
  • ID da Assinatura
  • Grupo de Recursos
  • Espaço de Trabalho

Para receber essas credenciais:

  • Clique no Como Obter Credenciais link no canto inferior esquerdo da Configuração de Integração da Plataforma página.

  • Siga as diretrizes descritas na janela pop-up correspondente.

Elastic Cloud

Para a plataforma Elastic Cloud, você precisa ter acesso a:

  • Kibana para implantar Pesquisas e Alertas de Regras
    • Host e porta do Kibana
    • Login
    • Senha
    • Nome do Espaço
    • Padrões de índice

Para receber o ID do Padrão de Índice, clique na página de Como Obter ID de Padrão de Índice link no canto inferior esquerdo da Configuração de Integração da Plataforma e siga as diretrizes que verá.

  • API Elasticsearch para implantar Watchers
    • Host e porta do Elasticsearch
    • Login e senha OU uma Chave de API

Uma vez configurado, o CCM está disponível nas seções de página de Automação ou configurações do usuário:

  1. página de Automação > Gerenciamento de Conteúdo e Automação seções
  2. Configurações do Usuário > Gerenciamento Contínuo de Conteúdo

The Gerenciamento de Conteúdo seção inclui as seguintes funcionalidades:

  • Listas para a organização adequada do conteúdo
  • Inventário para uma visão abrangente do conteúdo
  • Histórico para o registro simplificado de todas as ações de gerenciamento de conteúdo (trabalhos, implantações manuais, atualizações de conteúdo, etc.)

The página de Automação a seção inclui:

  • Trabalhos para a implantação automatizada de regras e outras ações de gerenciamento de conteúdo
  • Modelos para criar e gerenciar itens de conteúdo com base em modelos personalizados e vinculá-los a trabalhos

Pronto para testar o CCM? Se você tiver o nível de assinatura Universe, pode aproveitar ao máximo o CCM sem custo como parte deste plano. Como alternativa, você pode comprar a assinatura do CCM como uma licença separada. Contate sales@socprime.com para mais detalhes.

Ainda assim, há mais uma opção à sua disposição. A SOC Prime está sempre tentando oferecer mais oportunidades para que os profissionais de segurança explorem a comunidade e obtenham valor do conteúdo SOC disponível e das capacidades da plataforma. O módulo CCM agora também está disponível como parte de um Teste Gratuito, para que os usuários do Threat Detection Marketplace com a assinatura Community possam testar o sistema de gerenciamento de conteúdo totalmente automatizado por um período de 14 dias. Para ativar o módulo CCM como parte de um Teste Gratuito, você precisa selecionar Perfil > Configurações de Teste, e então clicar no botão Solicitar Teste ao lado da opção de Gerenciamento Contínuo de Conteúdo teste.

O acesso ao Teste Gratuito do módulo CCM pode ser ativado após uma chamada com o representante da equipe de vendas ou diretamente após a aprovação do administrador do Threat Detection Marketplace.

Inscreva-se no Threat Detection Marketplace para obter valor de conteúdo SOC curado e aproveitar as capacidades de detecção e resposta a ameaças da plataforma.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião