Subcampeón de Swimlane en el Hackathon de seguridad de Microsoft Graph

A las pocas semanas de empezar en Swimlane, nuestro director ejecutivo Cody CornelMencioné el Hackatón de seguridad de Microsoft Graph—organizado por el equipo de seguridad de Microsoft Graph y DevPost. Tras formar un equipo y trabajar duro, ayer nos notificaron que Nuestra presentación obtuvo el segundo lugar!

Estábamos muy emocionados de participar en este evento único ya que estábamos a punto de comenzar el desarrollo de nuestro API de seguridad de Microsoft Graph paquete, y esta sería la oportunidad perfecta para mostrar el poder de Swimlane.

Nuestra presentación al hackathon de seguridad de Microsoft Graph

Tras intercambiar ideas con otros ingenieros, decidimos que no solo queríamos usar los valiosos datos que ofrecen las API de Microsoft Graph Security. Queríamos proporcionar contexto adicional sobre las alertas de Graph Security para que otros equipos internos pudieran usar esta información para proteger su parte de la organización.

Nuestra entrada titulada "Microsoft Graph Security – Enriquecimiento de alertas de seguridad" se centra en el consumo de alertas de la API de Microsoft Graph Security. Swimlane ingiere estas alertas diariamente (configurable). Una vez ingerida cada alerta, examinamos todos los valores de la respuesta JSON en busca de direcciones IP, hash o URL que coincidan con varios patrones de expresiones regulares. Si se encuentran datos identificados, creamos un registro de aplicación independiente con detalles sobre la alerta de seguridad de Graph.

Dentro de nuestra nueva aplicación, que contiene los hallazgos extraídos, realizamos el enriquecimiento utilizando cinco fuentes diferentes. Para este hackaton, nos limitamos a cinco, pero puedes usar cualquier cantidad de fuentes que desees.

Aquí se muestran tres de las fuentes de enriquecimiento y sus hallazgos individuales. Utilizamos nuestros paquetes existentes para VirusTotal, Análisis híbrido y Minero de amenazas. Estas fuentes de enriquecimiento luego devuelven una puntuación de amenaza individual, así como contexto adicional que podemos utilizar al generar nuestra fuente interna de inteligencia de amenazas.

Una vez completadas todas nuestras integraciones en un registro individual, se genera automáticamente un feed de amenazas basado en un formato predefinido. Luego, utilizamos nuestro GitHub Paquete para añadir automáticamente la información identificada a un repositorio interno de GitHub, de modo que otros equipos puedan usarla en sus iniciativas de detección de amenazas o integrarla en otros servicios de la organización. Las posibilidades son ilimitadas.

Hay mucha información dentro de este registro, por lo que utilizamos la función incorporada de GitHub, “Páginas de GitHub”, para visualizar mejor los datos que se agregan a nuestros archivos.

Con nuestra presentación sabíamos que queríamos mostrar el poder de la orquestación y automatización de la seguridad, pero no queríamos dejar de lado la parte crucial: ¡la respuesta!

La parte de respuesta de nuestro envío incluye la capacidad de tomar automáticamente las amenazas identificadas por encima de un umbral configurable y agregar una regla de firewall a la lista de bloqueo de un firewall de Palo Alto Panorama.

Incluso si no tiene un Palo Alto Panorama, nuestro envío (y Swimlane) es completamente personalizable. Esto significa que puede agregar el bloque a cualquier número de dispositivos, aplicaciones de protección de endpoints, servidores proxy, etc.

Estamos felices de que nuestra propuesta haya sido seleccionada como finalista en la competencia de este año, y Swimlane espera con ansias futuros eventos de hackathon que muestren el poder de SOAR.