Combiner automatisation et veille sur les menaces avec Swimlane et VirusTotal – Première partie

Grâce à ses nombreuses intégrations prêtes à l'emploi et à son architecture axée sur les API, Swimlane assure une interopérabilité simple avec l'infrastructure de sécurité existante de toute organisation. L'intégration d'applications nouvelles et personnalisées peut également être facilement développée à l'aide de langages de script courants et d'une API RESTful.

Le nouveau partenariat entre Swimlane et VirusTotal illustre parfaitement cette approche. Dans cette série de deux articles de blog, nous commencerons par présenter notre collaboration, puis, dans un second temps, nous proposerons un guide pas à pas pour les utilisateurs souhaitant déployer cette puissante intégration technologique.

La nouvelle fonctionnalité VT Augment Widget de VirusTotal permet à Swimlane et à d'autres applications d'afficher des informations actualisées sur les menaces directement depuis la plateforme Swimlane, et de fournir des taux de détection exploitables immédiatement.

Cela permet aux analystes d'explorer en profondeur les informations les plus récentes et exploitables et nous permet d'automatiser la classification et le tri initiaux à partir d'un simple appel API.

Comment ça marche

Pour intégrer la nouvelle fonctionnalité VT Augment à Swimlane, nous avons d'abord dû définir l'architecture de la solution. Le flux de travail suivant a été retenu :

1. Une alerte de source, telle qu'un e-mail d'hameçonnage ou une alerte XDR, est intégrée à la plateforme Swimlane.

2. Swimlane analyse l'alerte source pour identifier les indicateurs de compromission exploitables (IOC) :

   1. Adresses IP externes

   2. Domaines

   3. URL

   4. Hachages de fichiers (SHA1/SHA256/MD5)

3. Swimlane utilise la clé API de notre organisation pour effectuer une requête auprès de VT Augment. /widget/url point de terminaison, en passant les paramètres suivants :

1. requête : Le CIO dont nous souhaitons obtenir des informations sur la réputation (obligatoire)

2. fg1 : Couleur hexadécimale souhaitée du texte du widget principal (facultatif)

3. bg1 : Couleur d’arrière-plan principale souhaitée en hexadécimal (facultatif)

4. bg2 : Couleur de fond secondaire souhaitée en hexadécimal (facultatif)

5. bd1 : Couleur de bordure souhaitée en hexadécimal (facultatif)

4. Le point de terminaison VT Augment répond avec les points de données suivants au format JSON :

1. url : URL à utiliser comme attribut src de l’iframe pour afficher le widget VT Augment

2. taux de détection :

3. Détections : Nombre de détections positives de moteurs VT

4. total : Nombre de moteurs analysés

5. Le taux de détection renvoyé peut être utilisé pour alimenter la détermination initiale de la malveillance de l'IOC, et toute automatisation basée sur la priorisation ou la détermination automatique de la nature de l'IOC.

6. L'URL renvoyée est intégrée dans une iframe au sein d'un widget Swimlane, où elle reste disponible pour une analyse manuelle.

7. Lorsqu'un analyste ouvre la fiche de renseignements sur les menaces pour l'IOC, le widget s'affiche automatiquement et présente les résultats complets de l'enquête de VirusTotal VT Augment. /widget/html point final.

Dans la deuxième partie, nous détaillerons le processus d'ajout de la fonctionnalité VT Augment à une application de renseignement sur les menaces dans Swimlane.