Seguir 
Antes do lançamento do módulo de Gerenciamento Contínuo de Conteúdo (CCM), nossos usuários do Threat Detection Marketplace precisavam baixar itens de conteúdo e importá-los manualmente em seus SIEM. Somos grandes fãs do “Detecção como Código” de Anton Chuvakin, o que nos motivou a trazer automação avançada para a implantação de conteúdo de SOC. Isso significava repensar como simplificar as operações de detecção de ameaças e alcançar capacidades de segurança aprimoradas. Agora, com o lançamento do CCM, nossos clientes podem implantar automaticamente itens de conteúdo diretamente em seu SIEM, fazer alterações neles rapidamente e reimplantar essas alterações na plataforma que usam.
O CCM está disponível para Microsoft Azure Sentinel e Elastic Cloud, com suporte para Sumo Logic e outros SIEM nativos da nuvem chegando em breve. Dependendo da solução SIEM em uso, você pode implantar itens de conteúdo dos seguintes tipos:
- Para Azure Sentinel
-
- Consulta
- Regra
- Funções/Parseadores
- Para Elastic Cloud
-
- Alerta de Regra
- Watcher
- Pesquisa Salva
Como configurar a Integração de Gerenciamento Contínuo de Conteúdo
Antes de configurar o CCM, você precisa configurar a integração para Azure Sentinel ou Elastic Cloud a partir da página de Automação ou configurações do usuário:
- página de Automação > Integração
- Configurações do Usuário > Configuração de Integração da Plataforma
Dependendo do tipo de conteúdo e SIEM, requisitos específicos do sistema precisam ser atendidos.
Microsoft Azure Sentinel
Para a plataforma Azure Sentinel, você precisa ter acesso à API da assinatura do Azure Sentinel com as permissões relevantes para ler e implantar recursos no espaço de trabalho apropriado:
- ID do Cliente
- Segredo do Cliente
- ID do Locatário
- ID da Assinatura
- Grupo de Recursos
- Espaço de Trabalho
Para receber essas credenciais:
- Clique no Como Obter Credenciais link no canto inferior esquerdo da Configuração de Integração da Plataforma página.
- Siga as diretrizes descritas na janela pop-up correspondente.
Elastic Cloud
Para a plataforma Elastic Cloud, você precisa ter acesso a:
- Kibana para implantar Pesquisas e Alertas de Regras
- Host e porta do Kibana
- Login
- Senha
- Nome do Espaço
- Padrões de índice
Para receber o ID do Padrão de Índice, clique na página de Como Obter ID de Padrão de Índice link no canto inferior esquerdo da Configuração de Integração da Plataforma e siga as diretrizes que verá.
- API Elasticsearch para implantar Watchers
- Host e porta do Elasticsearch
- Login e senha OU uma Chave de API
Uma vez configurado, o CCM está disponível nas seções de página de Automação ou configurações do usuário:
- página de Automação > Gerenciamento de Conteúdo e Automação seções
- Configurações do Usuário > Gerenciamento Contínuo de Conteúdo
The Gerenciamento de Conteúdo seção inclui as seguintes funcionalidades:
- Listas para a organização adequada do conteúdo
- Inventário para uma visão abrangente do conteúdo
- Histórico para o registro simplificado de todas as ações de gerenciamento de conteúdo (trabalhos, implantações manuais, atualizações de conteúdo, etc.)
The página de Automação a seção inclui:
- Trabalhos para a implantação automatizada de regras e outras ações de gerenciamento de conteúdo
- Modelos para criar e gerenciar itens de conteúdo com base em modelos personalizados e vinculá-los a trabalhos
Pronto para testar o CCM? Se você tiver o nível de assinatura Universe, pode aproveitar ao máximo o CCM sem custo como parte deste plano. Como alternativa, você pode comprar a assinatura do CCM como uma licença separada. Contate sales@socprime.com para mais detalhes.
Ainda assim, há mais uma opção à sua disposição. A SOC Prime está sempre tentando oferecer mais oportunidades para que os profissionais de segurança explorem a comunidade e obtenham valor do conteúdo SOC disponível e das capacidades da plataforma. O módulo CCM agora também está disponível como parte de um Teste Gratuito, para que os usuários do Threat Detection Marketplace com a assinatura Community possam testar o sistema de gerenciamento de conteúdo totalmente automatizado por um período de 14 dias. Para ativar o módulo CCM como parte de um Teste Gratuito, você precisa selecionar Perfil > Configurações de Teste, e então clicar no botão Solicitar Teste ao lado da opção de Gerenciamento Contínuo de Conteúdo teste.
O acesso ao Teste Gratuito do módulo CCM pode ser ativado após uma chamada com o representante da equipe de vendas ou diretamente após a aprovação do administrador do Threat Detection Marketplace.
Inscreva-se no Threat Detection Marketplace para obter valor de conteúdo SOC curado e aproveitar as capacidades de detecção e resposta a ameaças da plataforma.