Utilización del paquete de productos McAfee y Swimlane para automatizar la respuesta a incidentes

McAfee cuenta con una sólida suite de productos de ciberseguridad que varias organizaciones líderes utilizan como plataformas de operaciones de seguridad y respuesta a incidentes. Desde SIEM hasta la protección de endpoints, McAfee ofrece una solución para prácticamente todas las etapas de la respuesta a incidentes. Swimlane se integra con la mayoría de estas herramientas y productos integrales, lo que permite automatizar la mayoría de los procesos que un analista realizaría manualmente durante una investigación.

El equipo de Swimlane desarrolló integraciones con los siguientes productos de McAfee:

• McAfee ESM (SIEM):
  • Ingerir alarmas no reconocidas
  • Recuperar eventos base que activan una regla de correlación
• McAfee ePO (EDR):
  • Aplicar una etiqueta a un host específico o a un conjunto de hosts
  • Borrar una etiqueta de un host específico o de un conjunto de hosts
  • Extraer todos los eventos de amenaza relacionados de un host
  • Extraer toda la información relevante del host administrado por ePO
• McAfee OpenDXL:
  • Búsqueda de hash MD5
  • Envía el hash MD5 a la base de datos TIE con una puntuación de reputación
  • Empujar un evento sobre la estructura DXL
• McAfee ATD:
  • Enviar archivos para análisis en sandbox
  • Extraer los resultados de un análisis completado
• Puerta de enlace web de McAfee:
  • URL de lista negra/blanca
  • Dominios de lista negra/blanca

¿Cómo Swimlane orquesta y automatiza las alarmas con las herramientas de McAfee?

Con estas herramientas, Swimlane puede automatizar y orquestar una alarma que se activa en ESM y, posteriormente, remediar y responder al incidente mediante las integraciones desarrolladas por McAfee. Un ejemplo práctico sería si un empleado accediera a un sitio web previamente marcado por McAfee ESM. Una vez activada la alarma, la integración de Swimlane con McAfee ESM la procesaría y, al mismo tiempo, la configuraría como reconocida. Los detalles de la alarma incluirían la IP del host, el nombre del host, la URL a la que se conectó el usuario, así como otra información relevante sobre el incidente. Swimlane, utilizando el nombre de host del equipo del usuario, aplicaría automáticamente una etiqueta en McAfee ePO que iniciaría un análisis de virus en ese host. Una vez finalizado el análisis, Swimlane, mediante la integración de Eventos de Amenaza de ePO, recuperaría todos los detalles del análisis y los añadiría a la investigación en curso. En esta situación, el usuario descargó accidentalmente un binario malicioso, cuya ruta estaba incluida en el evento de amenaza.

En este punto del manual, el equipo de análisis forense digital intervendría, extraería el archivo binario del equipo del usuario y lo adjuntaría a la investigación del caso en curso. Una vez adjuntado el archivo, Swimlane lo enviaría a McAfee ATD para su análisis en el entorno de pruebas y calcularía el valor hash del binario. Los resultados de este análisis mostrarían que este binario se conecta a otros dos dominios considerados indicadores de compromiso (IOC) maliciosos.

Debido a la gravedad de estos IOC, Swimlane iniciaría automáticamente un manual de estrategias para su remediación. Los pasos de remediación definidos para este caso práctico establecen que Swimlane debe aplicar automáticamente una etiqueta a McAfee ePO para eliminar el equipo de la red, de modo que el equipo de análisis forense digital pueda completar su conjunto de pasos de remediación. A continuación, Swimlane enviaría el hash MD5 a la base de datos TIE con una alta puntuación de reputación, utilizando la integración desarrollada para McAfee ATD. Finalmente, utilizando la integración de McAfee Web Gateway, los IOC se enviarían al proxy para que los incluyera en la lista negra.

Cómo puede ayudar Swimlane

Este tipo de eventos pueden ocurrir varias veces al día y un analista podría tardar entre 30 y 60 minutos por investigación. Gracias a la capacidad de Swimlane para automatizar y orquestar playbooks complejos, no solo se reduce considerablemente el tiempo de remediación de un incidente, sino que también se aumenta el valor y la inversión en los productos de McAfee. Estas integraciones, junto con los playbooks creados para ellas, ayudan a las organizaciones a optimizar sus procedimientos operativos de ciberseguridad y les permiten conservar el conocimiento y los procesos dentro de Swimlane.

Si desea obtener más información sobre cómo Swimlane se integra con el paquete de productos McAfee, mire nuestro video de integración.