Automatice la investigación y la respuesta de ThreatGrid con integraciones de Swimlane listas para usar

Las integraciones listas para usar de Swimlane automatizan los procesos de defensa contra malware de Cisco AMP ThreatGrid

Una tarea repetitiva común en un Centro de Operaciones de Seguridad (SOC) es enviar archivos sospechosos a una tecnología de sandbox para malware. Estas tecnologías ejecutan el binario en un entorno seguro y reportan información valiosa sobre el funcionamiento de ese malware en particular. Los analistas realizan un seguimiento revisando los resultados y tomando diversas medidas, como recopilar información adicional de fuentes de inteligencia de amenazas, actualizar conjuntos de reglas y ejecutar procedimientos de remediación como aislar un host, entre otras. Desafortunadamente, aparte de la ejecución del propio sandbox, estos procesos manuales consumen mucho tiempo.

Integración lista para usar de Swimlane con Cisco ThreatGrid Permite automatizar gran parte del proceso de investigación y respuesta ante malware. Puede enviar archivos binarios sospechosos para su ejecución en la tecnología de sandbox de ThreatGrid, recuperar el informe resultante y, posteriormente, ejecutar automáticamente la respuesta adecuada.

Gracias a las funciones de flujo de trabajo automatizado integradas de Swimlane, se pueden implementar diferentes conjuntos de acciones de remediación según los resultados del informe de la zona de pruebas de ThreatGrid. El siguiente flujo de trabajo muestra un ejemplo.

Un caso de uso común para aprovechar las integraciones de Swimlane con una tecnología de sandbox como ThreatGrid es el análisis de archivos adjuntos sospechosos en correos electrónicos. A menudo, un equipo de seguridad implementa un programa que permite a los usuarios enviar correos electrónicos sospechosos al SOC para su análisis. El análisis manual de estos correos electrónicos puede llevar bastante tiempo: extraer encabezados, extraer URL del cuerpo, obtener archivos adjuntos, enviarlos a tecnologías de sandbox y consultar fuentes de inteligencia de amenazas para obtener los indicadores.

Y eso es solo para determinar si el correo electrónico es un intento real de phishing. Las acciones de respuesta son un conjunto completamente independiente de tareas, generalmente manuales, que un analista de seguridad debe realizar. Pero ahora pueden automatizarse de forma inteligente mediante el flujo de trabajo basado en datos de Swimlane, junto con todas las integraciones disponibles en Swimlane.

Si estás interesado en aprender más, mira un demostración en vivo de nuestras integraciones con los productos de seguridad de Cisco en un seminario web a pedido “Detenga los ataques de phishing con la respuesta automatizada a incidentes”" presentado por Cisco AMP ThreatGrid y Swimlane.