使用案例
编排有什么帮助(高级概述)
处理安全警报
网络钓鱼丰富和响应 - 摄取潜在的网络钓鱼电子邮件;触发剧本;自动执行和执行可重复的任务,例如对受影响的用户进行分类和吸引;提取并检查指标;识别误报;并为 SOC 做好大规模标准化响应准备。 端点恶意软件感染 - 从端点工具提取威胁源数据,丰富该数据,使用安全信息和事件管理 (SIEM) 解决方案交叉引用检索到的文件/哈希值,通知分析师,清理端点并更新端点工具数据库。 失败的用户登录 - 在预定次数的用户登录尝试失败后,通过触发 playbook、吸引用户、分析他们的回复、使密码过期和关闭 playbook 来评估失败的登录是真实的还是恶意的。 从异常位置登录 - 通过检查 VPN 和云访问安全代理 (CASB) 存在、交叉引用 IP、确认用户违规、发布阻止并关闭 playbook,识别潜在的恶意虚拟专用网络 (VPN) 访问尝试。
管理安全运营
安全套接字层 (SSL) 证书管理 - 检查端点以查看哪些 SSL 证书已过期或即将过期,通知用户,几天后重新检查状态,将问题上报给适当的人员并关闭 playbook。 端点诊断和启动 - 检查连接和代理连接、丰富上下文、开票、启动代理以及关闭 playbook。 漏洞管理 - 获取漏洞和资产信息,丰富端点和常见漏洞和暴露(CVE)数据,查询漏洞上下文,计算严重性,将控制权移交给安全分析师进行修复和调查,以及关闭剧本。
寻找威胁并响应事件
妥协指标 (IOC) 搜寻 - 从附加文件中获取并提取 IOC,跨威胁情报工具搜寻 IOC,更新数据库并关闭剧本。 恶意软件分析 - 从多个来源获取数据、提取和引爆恶意文件、生成和显示报告、检查恶意、更新数据库以及关闭 playbook。 云感知事件响应 - 使用来自以云为中心的威胁检测和事件记录工具的数据,统一跨云和本地安全基础设施的流程,与 SIEM 关联,提取和丰富指标,检查恶意行为,将控制权移交给分析师和让他们查看信息、更新数据库并关闭剧本。
自动化数据丰富
IOC 丰富——从多个来源摄取数据,提取任何需要引爆的指标,丰富 URL、IPS 和哈希值;检查是否存在恶意行为,更新数据库,邀请分析师审查和调查信息,然后关闭剧本。 分配事件严重性 - 检查其他产品的漏洞分数并查看现有指标是否已分配分数,分配严重性,检查用户名和端点以查看它们是否在关键列表中,分配严重严重性并关闭事件。
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
