Cómo realizar correctamente la clasificación de respuesta a incidentes

El triaje es el primer proceso de respuesta a incidentes posterior a la detección que cualquier persona que responde ejecutará para abrir un incidente o un falso positivo. Estructurar un proceso de triaje de respuesta a incidentes eficiente y preciso reducirá la fatiga de los analistas, reducirá el tiempo de respuesta y remediación de incidentes, y garantizará que solo las alertas válidas se promuevan al estado de "investigación o incidente".

Cada parte del proceso de triaje debe realizarse con urgencia, ya que cada segundo cuenta en medio de una crisis. Sin embargo, quienes responden al triaje se enfrentan al serio reto de filtrar una fuente de información compleja y convertirla en un flujo condensado de eventos. A continuación, se presentan algunas sugerencias para agilizar el análisis antes de la validación de los datos:

• Organización: Reduzca el análisis redundante desarrollando un flujo de trabajo que asigne tareas a los respondedores. Evite compartir una cuenta o alias de correo electrónico entre varios respondedores. En su lugar, utilice una herramienta de flujo de trabajo, como las que se encuentran en las soluciones de orquestación, automatización y respuesta de seguridad (SOAR), para asignar tareas. Implemente un proceso para reasignar o rechazar tareas que no se puedan clasificar.
• Correlación: Utilice una herramienta como la gestión de seguridad de la información e instalaciones (SIEM) para combinar eventos similares. Vincule eventos potencialmente conectados en un solo evento útil.
• Enriquecimiento de datos: Automatice las consultas comunes que sus equipos de respuesta realizan a diario, como búsquedas inversas de DNS, búsquedas de inteligencia de amenazas y mapeo de IP/dominio. Agregue estos datos al registro de eventos o facilite su acceso.

Avanzar a toda velocidad es la clave para superar el proceso inicial de triaje de respuesta a incidentes, pero se requiere un enfoque más detallado y mesurado durante la verificación de eventos. Presentar un caso sólido para que los analistas de su centro de operaciones de seguridad (SOC) o equipo de respuesta a incidentes cibernéticos (CIRT) lo evalúen con precisión es fundamental. Aquí tiene algunos consejos para la verificación:

• Datos adyacentes: Revise la información adyacente al evento. Por ejemplo, si un endpoint tiene una coincidencia de firma de virus, verifique si hay evidencia de que el virus se está ejecutando antes de solicitar más métricas de respuesta.
• Revisión de inteligencia: Comprenda el contexto de la inteligencia. Que una dirección IP haya sido identificada como parte de una botnet la semana pasada no significa que siga formando parte de ella hoy.
• Prioridad inicial: Alinearse con las prioridades operativas de incidentes y clasificarlos adecuadamente. Asegurarse de que se aplique el nivel de esfuerzo adecuado a cada incidente.
• Análisis cruzado: Busque y analice claves potencialmente compartidas, como direcciones IP o nombres de dominio, en múltiples fuentes de datos para lograr una mayor precisión de los datos.

Una vez verificado un evento, este se convierte en una investigación o un incidente. Todos los incidentes deben ser investigados y monitoreados por los equipos del SOC o CIRT, según lo definido en el proceso de investigación.

La plataforma SOAR de Swimlane puede automatizar la mayor parte del proceso de triaje de respuesta a incidentes, incluyendo la asignación de tareas del flujo de trabajo y el enriquecimiento de datos. Esto proporciona a su equipo el contexto necesario para realizar análisis más profundos. También se pueden automatizar pasos adicionales en el proceso de respuesta a incidentes, como la búsqueda de inteligencia de amenazas y las medidas de remediación. Con SOAR, puede mejorar significativamente la eficiencia de sus operaciones de seguridad, a la vez que reduce el riesgo y aumenta la protección contra amenazas.

¿Quieres ver la automatización del triaje de respuesta a incidentes en acción? Mira nuestro cortometraje. video.
¿Está listo para analizar en profundidad los beneficios de automatizar su clasificación y procesos de respuesta a incidentes más amplios? Programe una demostración personalizada con Swimlane y descubra soluciones de seguridad “Creadas por analistas, para analistas”.

*Adaptado de uno existente Sincronicidad entrada de blog.

Demostración de automatización de la clasificación de alertas de Splunk (4:11)

Este video de caso práctico muestra la clasificación automatizada de los datos de alertas de seguridad recibidos de Splunk. En esta demostración, Splunk adquiere los datos, los enriquece VirusTotal y, a continuación, se toman medidas mediante una integración de Symantec Endpoint Protection si se consideran maliciosos.

Mira ahora