Elastic 利用 Tines 实现 SIEM 调查自动化
Elastic 的信息安全团队最近详细介绍了他们使用 Tines 实现的工作流程自动化,旨在提高他们识别和应对网络安全威胁的能力。该系统会自动对来自其安全信息和事件管理 (SIEM) 系统的警报进行分类,从而增强了识别和优先处理真实威胁的能力。 亚伦·杰维特Elastic 首席信息安全分析师 II 详细阐述了实施 在博客文章中. 通过这种简化的工作流程,该团队在一个月内调查并解决了超过 50,000 条警报,每条警报在触发后几秒钟内即可得到处理。这种方法使团队能够专注于调查复杂的威胁,从而改善整体安全态势。 此前,Elastic InfoSec 团队创建了规则包,用于检测 用户和实体行为分析(UEBA). 用户和实体行为分析(UEBA)分析来自用户和设备的活动数据,以建立正常行为标准。 安全团队意识到,如果 UEBA 警报来自受信任的设备,则可能会被忽略。他们的调查通常涉及根据 Elasticsearch 数据库检查警报的详细信息。如果发现匹配的活动,则警报可能是误报。 处理大量误报会导致分析师疲劳并错过威胁。因此,该团队考虑自动进行初始警报调查,排除误报并升级真正的威胁。 目前,Elastic 的系统将安全警报传输到 SOAR(安全编排、自动化和响应) 系统。然后,该 SOAR 系统使用查询自动对每个警报进行调查。根据结果,它会解决警报或将其上报给安全分析师进行进一步审查。 Jewitt 进一步解释了 叉齿 构建自动化分类工作流程。Elastic 的安全团队利用 Elastic Security 中的 Alert Actions 将警报数据传输到他们的 SOAR 解决方案。这是通过内置的 Tines 连接器或 webhook 实现的,该连接器或 webhook 以 ndjson 格式单独或批量发送警报。 自动分类标签(例如 Triage:All、Triage:Asset、Triage: Workstation)用于将规则路由到适当的分类路径。使用 […]