Desarrollando la mejor automatización y análisis de amenazas con Swimlane y VirusTotal (primera parte)

Con amplias integraciones listas para usar y una arquitectura API-first, Swimlane facilita la interoperabilidad con la infraestructura de seguridad existente de cualquier organización. Las integraciones para aplicaciones nuevas y personalizadas también se pueden desarrollar fácilmente utilizando lenguajes de scripting comunes y una API RESTful.

La nueva colaboración entre Swimlane y VirusTotal es un excelente ejemplo de este enfoque en acción. En esta serie de blogs de dos partes, comenzaremos analizando cómo trabajamos juntos y, en la segunda, compartiremos una guía paso a paso para los usuarios que desean implementar esta potente integración tecnológica.

La nueva función VT Augment Widget de VirusTotal brinda a Swimlane y otras aplicaciones la capacidad de mostrar información de amenazas actualizada directamente desde la plataforma Swimlane, además de devolver índices de detección de inteligencia procesables de inmediato.

Esto permite a los analistas analizar en profundidad la información más reciente y procesable, y nos permite automatizar la clasificación y el triaje iniciales desde una única llamada API.

Cómo funciona

Para integrar la nueva funcionalidad de VT Augment en Swimlane, primero tuvimos que decidir cómo diseñar la solución. Se optó por el siguiente flujo de trabajo:

1. Una alerta de origen, como un correo electrónico de phishing o una alerta XDR, ingresa a la plataforma Swimlane

2. Swimlane analiza la alerta de origen en busca de indicadores de compromiso (IOC) procesables:

   1. Direcciones IP externas

   2. Dominios

   3. URL

   4. Hashes de archivo (SHA1/SHA256/MD5)

3. Swimlane utiliza la clave API de nuestra organización para realizar una consulta al VT Augment /widget/url punto final, pasando los siguientes parámetros:

1. consulta: El COI para el que deseamos obtener información de reputación (obligatorio)

2. fg1: El color hexadecimal deseado del texto principal del widget (opcional)

3. bg1: El color de fondo primario deseado en hexadecimal (opcional)

4. bg2: El color de fondo secundario deseado en hexadecimal (opcional)

5. bd1: El color de borde deseado en hexadecimal (opcional)

4. El punto final de VT Augment responde con los siguientes puntos de datos en formato JSON:

1. url: La URL que se utilizará como iframe src para mostrar el widget VT Augment

2. relación de detección:

3. detecciones: Número de detecciones positivas del motor VT

4. total: Número de motores escaneados

5. La tasa de detección obtenida se puede utilizar para impulsar la determinación inicial de la malicia del IOC y cualquier automatización basada en la priorización o la determinación automática de la naturaleza del IOC.

6. La URL devuelta se incrusta en un iframe en un widget de carril, donde permanece lista para el análisis manual.

7. Cuando un analista abre el Registro de Inteligencia de Amenazas para el IOC, el Widget se procesa automáticamente y muestra los resultados completos de la investigación de VT Augment de VirusTotal. /widget/html punto final.

En la segunda parte, repasaremos el proceso de agregar la funcionalidad VT Augment a una aplicación de inteligencia de amenazas en Swimlane.