Swimlane a terminé deuxième au hackathon de sécurité Microsoft Graph

Quelques semaines après son arrivée chez Swimlane, notre PDG Cody Cornelj'ai mentionné le Hackathon de sécurité Microsoft Graph—organisé par l'équipe Sécurité de Microsoft Graph et DevPost. Après avoir constitué une équipe et fourni un travail considérable, nous avons été informés hier que Notre candidature a remporté la deuxième place.!

Nous étions extrêmement enthousiastes à l'idée de participer à cet événement unique, car nous étions sur le point de commencer le développement de notre projet. API de sécurité Microsoft Graph ce pack serait l'occasion idéale pour nous de démontrer la puissance de Swimlane.

Notre candidature au hackathon Microsoft Graph Security

Après avoir échangé des idées avec d'autres ingénieurs, nous avons décidé de ne pas nous contenter d'exploiter les données riches fournies par les API de sécurité Microsoft Graph. Nous souhaitions ajouter un contexte aux alertes de sécurité Graph afin que les autres équipes internes puissent utiliser ces informations pour protéger leur secteur d'activité au sein de l'organisation.

Notre article intitulé “ Microsoft Graph Security – Enrichissement des alertes de sécurité ” explique comment exploiter les alertes de l’API de sécurité Microsoft Graph. Swimlane ingère ces alertes quotidiennement (à une fréquence configurable). Une fois chaque alerte ingérée, nous analysons toutes les valeurs de la réponse JSON à la recherche d’adresses IP, de hachages ou d’URL correspondant à plusieurs expressions régulières. Si des données sont identifiées, nous créons un enregistrement d’application distinct contenant les détails de l’alerte de sécurité Graph.

Dans notre nouvelle application, qui contient nos résultats extraits, nous procédons ensuite à un enrichissement à l'aide de cinq sources différentes. Nous nous sommes limités à cinq sources pour ce hackathon, mais vous pouvez en utiliser autant que vous le souhaitez.

Vous trouverez ici trois des sources d'enrichissement et leurs résultats respectifs. Nous avons utilisé nos ensembles existants pour VirusTotal, Analyse hybride et Menace. Ces sources d'enrichissement renvoient ensuite un score de menace individuel, ainsi que des informations contextuelles supplémentaires que nous pouvons utiliser lors de la génération de notre flux interne de renseignements sur les menaces.

Une fois toutes nos intégrations terminées pour un enregistrement individuel, un flux de menaces est généré automatiquement selon un format prédéfini. Nous utilisons ensuite notre GitHub Ce module permet d'ajouter automatiquement les informations identifiées à un dépôt GitHub interne, afin que d'autres équipes puissent les utiliser pour leurs initiatives de chasse aux menaces ou les intégrer à d'autres services de l'organisation. Les possibilités sont infinies.

Ce document contient beaucoup d'informations, nous avons donc utilisé la fonctionnalité intégrée de GitHub, “ GitHub Pages ”, pour mieux visualiser les données ajoutées à nos fichiers.

Avec notre candidature, nous savions que nous voulions démontrer la puissance de l'orchestration et de l'automatisation de la sécurité, mais nous ne voulions pas omettre l'élément crucial : la réactivité !

La partie réponse de notre soumission comprend la capacité de prendre automatiquement en compte les menaces identifiées dépassant un seuil configurable et d'ajouter une règle de pare-feu à la liste de blocage d'un pare-feu Palo Alto Panorama.

Même sans Palo Alto Panorama, notre soumission (et Swimlane) est entièrement personnalisable. Vous pouvez ainsi ajouter le bloc à autant d'appliances, d'applications de protection des terminaux, de proxys, etc., que vous le souhaitez.

Nous sommes ravis que notre candidature ait été sélectionnée comme finaliste du concours de cette année, et Swimlane attend avec impatience les prochains hackathons qui mettront en valeur la puissance de SOAR.