Nutzung der McAfee-Produktpalette und Swimlane zur Automatisierung der Reaktion auf Sicherheitsvorfälle

McAfee verfügt über eine umfassende Produktpalette im Bereich Cybersicherheit, die von zahlreichen führenden Unternehmen als Plattformen für Sicherheitsbetrieb und Incident Response eingesetzt wird. Von SIEM bis hin zum Endpunktschutz bietet McAfee Lösungen für nahezu jede Phase der Incident Response. Swimlane ist mit den meisten dieser wichtigen Tools und Produkte integriert und ermöglicht so die Automatisierung der meisten Prozesse, die ein Analyst im Rahmen einer Untersuchung manuell durchführen würde.

Das Swimlane-Team entwickelte Integrationen mit den folgenden McAfee-Produkten:

• McAfee ESM (SIEM):
  • Nicht bestätigte Alarme erfassen
  • Basisereignisse abrufen, die eine Korrelationsregel auslösen
• McAfee ePO (EDR):
  • Weisen Sie einem bestimmten Host oder einer Gruppe von Hosts ein Tag zu.
  • Ein Tag von einem bestimmten Host oder einer Gruppe von Hosts entfernen
  • Alle zugehörigen Bedrohungsereignisse von einem Host abrufen
  • Alle relevanten Hostinformationen über einen von ePO verwalteten Host abrufen
• McAfee OpenDXL:
  • MD5-Hash suchen
  • MD5-Hash mit Reputationswert an die TIE-Datenbank senden
  • Ein Ereignis über den DXL-Stoff schieben
• McAfee ATD:
  • Dateien zur Sandbox-Analyse einreichen
  • Ergebnisse eines abgeschlossenen Scans abrufen
• McAfee Web Gateway:
  • URLs auf die Blacklist/Whitelist setzen
  • Domains auf die Blacklist/Whitelist setzen

Wie orchestriert und automatisiert Swimlane Alarme mit McAfee-Tools?

Mit diesen Tools kann Swimlane einen in ESM ausgelösten Alarm automatisieren und orchestrieren und anschließend mithilfe der entwickelten McAfee-Integrationen auf den Vorfall reagieren und ihn beheben. Ein praktisches Beispiel: Ein Mitarbeiter ruft eine Website auf, die zuvor von McAfee ESM als verdächtig eingestuft wurde. Sobald der Alarm ausgelöst wird, erfasst die McAfee-ESM-Integration von Swimlane diesen und bestätigt ihn. Die Alarmdetails umfassen die Host-IP-Adresse, den Hostnamen, die URL, mit der der Benutzer verbunden war, sowie weitere relevante Informationen zum Vorfall. Swimlane wendet anhand des Hostnamens des Benutzercomputers automatisch ein Tag in McAfee ePO an, das einen Virenscan auf diesem Host auslöst. Nach Abschluss des Scans ruft Swimlane mithilfe der ePO-Bedrohungsereignisse-Integration alle Scan-Details ab und fügt sie der aktuellen Untersuchung hinzu. In diesem Fall hat der Benutzer versehentlich eine schädliche Datei heruntergeladen, deren Pfad im Bedrohungsereignis enthalten ist.

An diesem Punkt im Ablaufplan würde das Team für digitale Forensik eingeschaltet, die Binärdatei vom Rechner des Benutzers extrahieren und sie der laufenden Falluntersuchung beifügen. Sobald die Datei beigefügt ist, übermittelt Swimlane sie zur Sandbox-Analyse an McAfee ATD und berechnet den Hashwert der Binärdatei. Die Ergebnisse dieses Scans zeigen, dass diese Binärdatei Verbindungen zu zwei weiteren Domains herstellt, die als Indikatoren für eine Kompromittierung (IOCs) gelten.

Aufgrund der Schwere dieser Indikatoren für eine Gefährdung (IOCs) startet Swimlane automatisch ein Behebungsverfahren. Die definierten Schritte sehen vor, dass Swimlane McAfee ePO automatisch mit einem Tag versieht, um den Computer aus dem Netzwerk zu entfernen, damit das Team für digitale Forensik seine Maßnahmen durchführen kann. Anschließend überträgt Swimlane den MD5-Hash mithilfe der für McAfee ATD entwickelten Integration mit hoher Reputation an die TIE-Datenbank. Abschließend werden die IOCs über die McAfee Web Gateway-Integration an den Proxy zur Sperrung gemeldet.

Wie Swimlane helfen kann

Solche Ereignisse können mehrmals täglich auftreten und die Untersuchung kann für einen Analysten 30 bis 60 Minuten in Anspruch nehmen. Dank Swimlanes Fähigkeit, komplexe Playbooks zu automatisieren und zu orchestrieren, verkürzt sich die Zeit zur Behebung eines Vorfalls nicht nur erheblich, sondern der Wert und die Investition in McAfee-Produkte steigen auch. Diese Integrationen, zusammen mit den dafür erstellten Playbooks, helfen Unternehmen, ihre Cybersicherheits-Betriebsabläufe zu optimieren und das Wissen und die Prozesse in Swimlane zu verankern.

Wenn Sie mehr darüber erfahren möchten, wie Swimlane in die McAfee-Produktpalette integriert wird, sehen Sie sich unser Integrationsvideo an.