Innerhalb weniger Wochen nach seinem Start bei Swimlane, unser CEO Cody CornelIch erwähnte die Microsoft Graph Security Hackathon—veranstaltet vom Microsoft Graph Security Team und DevPost. Nach der Zusammenstellung eines Teams und viel harter Arbeit wurden wir gestern darüber informiert, dass Unser Beitrag belegte den zweiten Platz.!
Wir waren überaus begeistert, an dieser einzigartigen Veranstaltung teilnehmen zu können, da wir kurz vor dem Beginn unserer Entwicklung standen. Microsoft Graph Security API Das Bundle wäre die perfekte Gelegenheit für uns, die Leistungsfähigkeit von Swimlane unter Beweis zu stellen.
Unser Beitrag zum Microsoft Graph Security Hackathon
Nach einem Brainstorming mit unseren Entwicklerkollegen entschieden wir, dass wir nicht nur die umfangreichen Daten der Microsoft Graph Security APIs nutzen wollten. Wir wollten zusätzlichen Kontext zu den Graph Security Alerts bereitstellen, damit andere interne Teams diese Informationen zum Schutz ihrer jeweiligen Bereiche im Unternehmen verwenden können.
Unser Beitrag “Microsoft Graph Security – Anreicherung von Sicherheitswarnungen” befasst sich mit der Verarbeitung von Warnungen der Microsoft Graph Security API. Swimlane verarbeitet diese Warnungen täglich (konfigurierbar). Nach der Verarbeitung jeder Warnung prüfen wir alle Werte in der JSON-Antwort auf IP-Adressen, Hashes oder URLs, die bestimmten regulären Ausdrücken entsprechen. Werden entsprechende Daten gefunden, erstellen wir einen separaten Anwendungsdatensatz mit Details zur Graph Security-Warnung.
In unserer neuen Anwendung – die unsere extrahierten Ergebnisse enthält – führen wir anschließend eine Anreicherung mithilfe von fünf verschiedenen Anreicherungsquellen durch. Für diesen Hackathon haben wir uns auf fünf beschränkt, Sie können aber beliebig viele Anreicherungsquellen verwenden.
Hier werden drei der Anreicherungsquellen und ihre jeweiligen Ergebnisse dargestellt. Wir haben unsere bestehenden Datenpakete verwendet für VirusTotal, Hybridanalyse Und ThreatMiner. Diese Anreicherungsquellen liefern dann eine individuelle Bedrohungsbewertung sowie zusätzlichen Kontext, den wir bei der Generierung unseres internen Bedrohungsinformationsfeeds verwenden können.
Sobald alle Integrationen für einen einzelnen Datensatz abgeschlossen sind, wird automatisch ein Bedrohungsfeed anhand eines vordefinierten Formats generiert. Anschließend verwenden wir unsere GitHub Das Paket fügt die ermittelten Informationen automatisch einem internen GitHub-Repository hinzu, sodass andere Teams diese Informationen für ihre Bedrohungsanalysen nutzen oder in andere Dienste innerhalb einer Organisation integrieren können. Die Möglichkeiten sind unbegrenzt.
Da dieser Datensatz viele Informationen enthält, haben wir die integrierte GitHub-Funktion “GitHub Pages” verwendet, um die an unsere Dateien angehängten Daten besser zu visualisieren.
Mit unserem Beitrag wollten wir die Leistungsfähigkeit von Sicherheitsorchestrierung und -automatisierung aufzeigen, aber wir wollten den entscheidenden Aspekt, die Reaktionsfähigkeit, nicht außer Acht lassen!
Der Antwortteil unserer Einreichung beinhaltet die Fähigkeit, identifizierte Bedrohungen, die einen konfigurierbaren Schwellenwert überschreiten, automatisch zu erfassen und eine Firewall-Regel zur Sperrliste einer Palo Alto Panorama Firewall hinzuzufügen.
Auch wenn Sie kein Palo Alto Panorama-System besitzen, ist unsere Übermittlung (und Swimlane) vollständig anpassbar. Das bedeutet, dass Sie den Block zu beliebig vielen Appliances, Endpoint-Protection-Anwendungen, Proxys usw. hinzufügen können.
Wir freuen uns, dass unser Beitrag im diesjährigen Wettbewerb den zweiten Platz belegt hat, und Swimlane freut sich auf zukünftige Hackathon-Veranstaltungen, die die Leistungsfähigkeit von SOAR unter Beweis stellen werden.
Microsoft Graph Security – Anreicherung von Sicherheitswarnungen
Weitere Informationen zum Microsoft Graph Security Hackathon von Swimlane finden Sie im vollständigen Beitrag.

