Die Vorteile von Automatisierung und Bedrohungsanalyse mit Swimlane und VirusTotal optimal nutzen – Teil 1

Dank umfangreicher, sofort einsatzbereiter Integrationen und einer API-zentrierten Architektur ermöglicht Swimlane die einfache Interoperabilität mit der bestehenden Sicherheitsinfrastruktur jedes Unternehmens. Integrationen für neue und kundenspezifische Anwendungen lassen sich zudem problemlos mithilfe gängiger Skriptsprachen und einer RESTful-API entwickeln.

Die neue Partnerschaft zwischen Swimlane und VirusTotal ist ein hervorragendes Beispiel für diesen Ansatz in der Praxis. In dieser zweiteiligen Blogserie zeigen wir Ihnen zunächst, wie wir zusammenarbeiten, und im zweiten Teil geben wir eine Schritt-für-Schritt-Anleitung für Anwender, die diese leistungsstarke Technologieintegration implementieren möchten.

Die neue VT Augment Widget-Funktion von VirusTotal ermöglicht es Swimlane und anderen Anwendungen, aktuelle Bedrohungsdaten direkt in der Swimlane-Plattform anzuzeigen und sofort umsetzbare Erkennungsquoten zurückzugeben.

Dies versetzt Analysten in die Lage, die aktuellsten und relevantesten Informationen detailliert zu analysieren und ermöglicht es uns, die erste Klassifizierung und Priorisierung mit einem einzigen API-Aufruf zu automatisieren.

So funktioniert es

Um die neue VT-Augment-Funktionalität in Swimlane zu integrieren, mussten wir zunächst die Architektur der Lösung festlegen. Folgender Workflow wurde gewählt:

1. Eine Quellenwarnung, wie z. B. eine Phishing-E-Mail oder eine XDR-Warnung, gelangt in die Swimlane-Plattform.

2. Swimlane analysiert die Quellwarnung nach verwertbaren Indikatoren für eine Kompromittierung (IOCs):

   1. Externe IP-Adressen

   2. Domänen

   3. URLs

   4. Dateihashes (SHA1/SHA256/MD5)

3. Swimlane verwendet den API-Schlüssel unserer Organisation, um eine Abfrage an VT Augment zu senden. /widget/url Endpunkt, der die folgenden Parameter übergibt:

1. Anfrage: Das IOC, über das wir Reputationsinformationen erhalten möchten (erforderlich)

2. fg1: Die gewünschte Hexadezimalfarbe des Haupt-Widget-Textes (optional)

3. bg1: Die gewünschte primäre Hintergrundfarbe im Hexadezimalformat (optional)

4. bg2: Die gewünschte sekundäre Hintergrundfarbe im Hexadezimalformat (optional)

5. bd1: Die gewünschte Rahmenfarbe im Hexadezimalformat (optional)

4. Der VT Augment-Endpunkt antwortet mit den folgenden Datenpunkten im JSON-Format:

1. url: Die URL, die als iframe src verwendet werden soll, um das VT Augment Widget anzuzeigen.

2. Nachweisrate:

3. Detektionen: Anzahl positiver VT-Motordetektionen

4. Gesamt: Anzahl der gescannten Motoren

5. Das zurückgegebene Erkennungsverhältnis kann zur ersten Bestimmung der Bösartigkeit des IOC sowie für jegliche Automatisierungen verwendet werden, die auf Priorisierung oder automatischer Bestimmung der Art des IOC basieren.

6. Die zurückgegebene URL wird in einem iFrame in einem Swimlane-Widget eingebettet, wo sie für die manuelle Analyse bereitsteht.

7. Wenn ein Analyst den Threat Intelligence Record für den IOC öffnet, wird das Widget automatisch gerendert und zeigt die vollständigen Ergebnisse der Untersuchung aus VirusTotals VT Augment an. /widget/html Endpunkt.

Im zweiten Teil werden wir den Prozess der Integration der VT Augment-Funktionalität in eine Threat Intelligence-Anwendung in Swimlane erläutern.