Diagramm zur Integration der Identitätsüberwachung von Recorded Future mit Swimlane- und Active Directory-Aktionen.

Integrationsschwerpunkt: Modul für aufgezeichnete zukünftige Identitätsinformationen

Benutzeravatar
Katie Bykowski
3 Leseminute

 

Überwachung, Auswertung und Reaktion auf Credential Dumps

Die vielfältigen Kombinationsmöglichkeiten von Swimlane- und Recorded Future-Produkten eröffnen zahlreiche einzigartige und leistungsstarke Anwendungsfälle. Die Überwachung der Offenlegung von Identitätsdaten ist ein besonders hervorzuhebender Anwendungsfall.

Zunächst benötigen Sie Swimlane und das neue Identity Intelligence Module von Recorded Future. Diese Funktion liefert Nutzern die aktuellsten Informationen zu gestohlenen Zugangsdaten aus dem Internet. Dank der proprietären Quellen von Recorded Future werden Nutzer benachrichtigt, sobald ihre Daten in einem neuen Datenleck auftauchen. Dies ist von entscheidender Bedeutung, da ein unbemerktes Datenleck in den falschen Händen verheerende Folgen haben kann. Das neue Identity Intelligence Module von Recorded Future bietet Analysten alle notwendigen Informationen, um Angreifer proaktiv daran zu hindern, an aktive Zugangsdaten zu gelangen.

Swimlane und Recorded Future haben sich zusammengetan, um die Zeit für die Behebung kompromittierter Zugangsdaten durch Low-Code-Automatisierung zu verkürzen, und haben kürzlich gemeinsam eine Veranstaltung ausgerichtet. Webinar zum Thema gemeinsam.Es versteht sich von selbst, dass die Reaktion auf Warnmeldungen über kompromittierte Zugangsdaten zeitkritisch ist. Unser Ziel für gemeinsame Kunden ist es, Analysten zu ermöglichen, so viel wie möglich des Prozesses in die automatisierten Low-Code-Workflows von Swimlane zu verlagern. Dadurch können Analysten durch automatisierte Anwendungsfälle wie diesen die Reaktionszeit verkürzen und sich strategischeren Sicherheitsaufgaben widmen.

Mal sehen, wie es funktioniert.

Die obige Grafik veranschaulicht den allgemeinen Ablauf der Automatisierung dieser Anmeldeinformations-Dumps. Zur detaillierteren Erläuterung haben wir den Anwendungsfall in vier einfache Schritte unterteilt.

Diagramm zur Überwachung mit Recorded Future on Identity

  1. Recorded Future identifiziert einen Credential Dump:Unser Workflow beginnt, sobald das Identity Module von Recorded Future einen neuen Credential Dump aus einer seiner vielen Quellen für die Domain abruft, die wir zur Überwachung angefordert haben.

  2. Recorded Future sendet die erkannten Anmeldeinformationen an Swimlane: Diese Liste der Anmeldeinformationen wird dann automatisch und zeitgesteuert in Swimlane importiert. Sobald Swimlane die Daten importiert hat, wird automatisch für jede Anmeldeinformation ein Datensatz erstellt und der Anreicherungsprozess gestartet.

  3. Swimlane verbessert die Bedrohungsanalyse:Nachdem wir die Liste nun vorliegen haben und wissen, dass sie alle zur richtigen Unternehmensdomäne gehören, können wir sie mit Active Directory oder einem anderen Verzeichnisdienst abgleichen, um sicherzustellen, dass wir nur die Anmeldeinformationen unserer aktuellen Mitarbeiter betrachten. Für alle anderen kann die Automatisierung Maßnahmen auslösen, um sicherzustellen, dass diese Anmeldeinformationen bereits deaktiviert sind.

  4. Analysten erhalten verwertbare Informationen und entfernen offengelegte Zugangsdaten: Sobald wir die Liste auf unsere aktiven Mitarbeiter eingegrenzt haben, die im Anmeldeinformationsdump aufgetaucht sind, können Analysten die Swimlane-Automatisierung auf verschiedene Arten nutzen, je nachdem, was für ihr Unternehmen am besten geeignet ist. Am einfachsten ist es, die Passwörter aller aktuellen Mitarbeiter, die in der Liste der Anmeldeinformationsdumps erscheinen, wie im obigen Diagramm dargestellt, zurückzusetzen. Dadurch wird sichergestellt, dass alle offengelegten Anmeldeinformationen deaktiviert werden, unabhängig davon, wer sie findet. Bei dieser Konfiguration lässt sich der gesamte Anwendungsfall automatisieren. Wer die offengelegten Anmeldeinformationen genauer untersuchen möchte, um sicherzustellen, dass es sich nicht um alte Passwörter aktueller Mitarbeiter handelt, kann Rainbow-Tabellen verwenden, um die einzelnen Hash-Werte zu ermitteln.

Ergebnisse der Low-Code-Sicherheitsautomatisierung

Die Automatisierung des gesamten Bereichs kann in diesem Anwendungsfall genutzt werden. Die Zeitersparnis summiert sich über den gesamten Lebenszyklus des Anwendungsfalls und macht die Aufgabe für Sicherheitsteams deutlich einfacher. Alle Anreicherungen und Aktionen können direkt in der Swimlane-Plattform durchgeführt werden, sodass die Zeit, die normalerweise für die Nutzung verschiedener Tools zur weiteren Untersuchung oder zum Ergreifen von Maßnahmen aufgewendet wird, optimal genutzt wird. Da immer mehr dieser Credential-Dumps im Internet landen:

Um mehr über diese Integration zu erfahren, melden Sie sich für unsere nächste Veranstaltung an. Webinar!

Animiertes GIF, das die Swimlane Turbine Playbook-Oberfläche mit erweiterter Panelfilterung und automatisierter Logiksuche zeigt.

Swimlane-Turbine

Vereinbaren Sie eine Live-Demonstration von Swimlane Turbine mit unseren Experten! Erfahren Sie, wie unsere KI-gestützte Sicherheitsautomatisierungsplattform Ihnen helfen kann, die komplexesten Probleme in Ihrer gesamten Sicherheitsorganisation zu lösen.

Mehr lesen

Tags

Integrationen

21. Mai 2021
Recorded Future und Swimlane liefern intelligente Sicherheitsautomatisierung
Mehr lesen
6. Januar 2021
Reduzierung der Reaktionszeiten durch SOAR-integrierte Bedrohungsanalyse
Mehr lesen
27. September 2017
Nutzung einer Bedrohungsanalyseplattform für stärkere Cybersicherheit
Mehr lesen

Fordern Sie eine Live-Demo an