Conseils pour transformer la communication SecOps et accélérer la résolution des incidents

Le cauchemar des analystes de sécurité

À mesure que les organisations de sécurité se complexifient et s'interconnectent, les professionnels de la sécurité se retrouvent souvent à jouer un rôle central dans la collaboration avec les personnes extérieures à leurs équipes respectives. Cette responsabilité de communication interfonctionnelle s'ajoute à leurs activités quotidiennes déjà très chargées.

Une journée dans la vie d'un centre d'opérations de sécurité (SOCL'analyste présente le déroulement suivant :

1. Le automatisation de la sécurité La plateforme reçoit une alerte. Elle la traite et l'enrichit automatiquement avant d'en informer l'analyste. Ce dernier dispose ainsi d'un maximum d'informations pertinentes pour l'enquête à venir.

2. Après examen du dossier, l'analyste doit confirmer l'objectif et la nature prévue de l'activité de l'utilisateur. Dans cet exemple, l'utilisateur se trouve au sein de l'entreprise, mais en dehors du service de sécurité.
   
3. Ensuite, l'analyste de sécurité contacte l'utilisateur et met à jour le dossier, mais doit attendre sa réponse avant de poursuivre l'enquête. Pendant ce temps, analyste SOC passe à l'alerte suivante.
   
4. Après un délai indéterminé, l'utilisateur voit le message de l'analyste et y répond.

5. Ce n'est qu'à ce moment-là que l'analyste de sécurité peut poursuivre l'enquête. Après un changement de tâche, il a besoin d'une révision des détails de l'affaire.

Ce processus s'avère frustrant pour les analystes et engendre des retards dans la résolution des alertes. Le manque de visibilité sur le délai de réponse de l'utilisateur alourdit leur charge de travail, car ils doivent se familiariser à nouveau avec le dossier.

Le pouvoir du praticien : la valeur d'une communication fluide 

Turbine de couloir de nage propose un module de collaboration qui étend les fonctionnalités de sa plateforme d'automatisation de la sécurité. Cette extension utilise des composants modulaires et réutilisables pour créer des modèles prédéfinis permettant d'envoyer des messages contextuels à des systèmes de messagerie externes, tels que le courrier électronique, Slack ou Microsoft Teams. Ces messages peuvent déclencher une action en fonction d'un nombre illimité de choix définis par l'utilisateur. approuver, confirmer, refuser ou demander à être contacté. Ces fonctionnalités incluses dans l'extension de collaboration permettent aux utilisateurs non-Swimlane de répondre facilement aux messages générés par Turbine et de participer aux flux de travail de sécurité.

Continuez votre lecture pour en savoir plus sur les 3 principales façons de tirer parti de l'extension de collaboration Turbine.

1. Améliorer les signaux de détection grâce au triage centré sur l'utilisateur

Tout d'abord, il convient d'expliquer le concept et la portée de la “ détection ”. La détection consiste à agréger et à corréler un ou plusieurs événements afin de générer une alerte exploitable. Avec l'introduction de l'automatisation de la sécurité dans les opérations de sécurité modernes (Opérations de sécuritéDans cette pile technologique, une phase supplémentaire, appelée « décoration des alertes », est mise en œuvre. Des recherches complémentaires, des enrichissements et d'autres activités automatisées sont effectués afin d'améliorer la compréhension des alertes par les analystes.  

L'extension collaborative Turbine ajoute une couche supplémentaire d'analyse de détection aux capacités modernes de SecOps : la couche de triage centrée sur l'utilisateur. Le système charge automatiquement un modèle prédéfini, enrichi du contexte de l'alerte. L'utilisateur concerné au sein de l'organisation reçoit un message lui posant des questions telles que “ Avez-vous effectué cette action ? ” ou “ Vous êtes-vous connecté depuis cet emplacement à cette heure ? ”. Les actions automatisées suivantes sont déclenchées en fonction de la réponse de l'utilisateur dans une liste d'options prédéfinies.

Cette interaction utilisateur élargit le champ de détection tout en faisant gagner du temps et en réduisant les efforts manuels de l'analyste SOC. Ce seul exemple de scénario peut permettre aux analystes d'économiser des heures de travail chaque semaine.

2. Automatiser les actions approuvées

Non seulement les organisations de sécurité sont de plus en plus interconnectées, mais c'est également le cas pour l'ensemble du département informatique. L'utilisation croissante des microservices complexifie la compréhension de l'impact des actions individuelles de réduction des problèmes sur le système global. Du fait de cette interconnexion et de cette complexité, il est fréquent que les mesures d'atténuation des menaces perturbent l'activité. Un analyste SOC ne peut pas être à la fois expert de cette infrastructure interconnectée. Par conséquent, de nombreuses équipes de sécurité doivent soumettre des propositions de mesures d'atténuation aux principales parties prenantes avant d'agir. Ce délai entre la demande, l'obtention d'une réponse et la mise en œuvre de cette réponse allonge le temps critique d'atténuation des menaces. 

L'extension de collaboration Turbine permet aux analystes d'envoyer rapidement et efficacement des demandes d'approbation automatisées aux experts du domaine. Dès réception d'une réponse parmi une liste d'options prédéfinies, Turbine exécute automatiquement l'action corrective, sans intervention supplémentaire de l'analyste.

3. Rationaliser les notifications d'équipe

Le rôle de l'analyste, assisté par des détections automatisées, s'apparente à la recherche d'une aiguille dans une botte de foin. Or, avec la croissance continue des sources de télémétrie et de leur volume, le nombre de détections automatisées augmente lui aussi, transformant la tâche de la recherche d'une aiguille dans une botte de foin en une recherche d'une aiguille dans une botte d'aiguilles. Dans ce contexte, il devient extrêmement difficile pour un analyste d'identifier l'information la plus critique.
Le Turbine L'extension de collaboration permet aux analystes SOC d'envoyer des messages vers un canal de communication externe à la plateforme d'automatisation de la sécurité, comme Slack ou Microsoft Teams. Cela permet d'effectuer rapidement les premières actions à partir d'une liste d'options prédéfinies. Détecter, valider, escalader !

Découvrez-le en action

Pour une présentation plus détaillée, consultez notre démonstration vidéo. Voyez comment Turbine de couloir de nage L'extension de collaboration facilite grandement la communication.

En conclusion, Turbine repense la collaboration en profondeur, en privilégiant l'amélioration et l'accélération de la communication et des temps de réponse. Ce changement redonne le contrôle aux praticiens. L'automatisation de Turbine capte l'attention des analystes, contribuant ainsi à son efficacité opérationnelle.

Si vous n'avez pas encore eu l'occasion d'explorer Swimlane Turbine, nous vous encourageons à demander un Démo ici.