Como realizar corretamente a triagem de resposta a incidentes

A triagem é o primeiro processo de resposta a incidentes que qualquer profissional de resposta executará após a detecção de um incidente ou falso positivo. Estruturar um processo de triagem de resposta a incidentes eficiente e preciso reduzirá a fadiga do analista, o tempo de resposta e remediação de incidentes e garantirá que apenas alertas válidos sejam promovidos ao status de "investigação ou incidente".

Cada etapa do processo de triagem deve ser realizada com urgência, pois cada segundo conta em meio a uma crise. No entanto, os profissionais responsáveis pela triagem enfrentam o grande desafio de filtrar uma grande quantidade de informações e transformá-las em um fluxo conciso de eventos. Aqui estão algumas sugestões para agilizar a análise antes da validação dos dados:

• Organização: Reduza análises redundantes desenvolvendo um fluxo de trabalho que atribua tarefas aos responsáveis pela resposta. Evite compartilhar a mesma caixa de e-mail ou alias de e-mail entre vários responsáveis. Em vez disso, utilize uma ferramenta de fluxo de trabalho, como as encontradas em soluções de orquestração, automação e resposta de segurança (SOAR), para atribuir tarefas. Implemente um processo para reatribuir ou rejeitar tarefas que estejam fora do escopo da triagem.
• Correlação: Utilize uma ferramenta como um sistema de gerenciamento de informações e eventos de segurança (SIEM) para combinar eventos semelhantes. Vincule eventos potencialmente relacionados em um único evento útil.
• Enriquecimento de dados: Automatize as consultas comuns que seus profissionais de resposta realizam diariamente, como pesquisas reversas de DNS, pesquisas de inteligência contra ameaças e mapeamento de IP/domínio. Adicione esses dados ao registro do evento ou torne-os facilmente acessíveis.

Avançar a toda velocidade é a melhor maneira de superar o processo inicial de triagem de resposta a incidentes, mas uma abordagem mais detalhada e ponderada é necessária durante a verificação do evento. Apresentar um caso robusto para ser avaliado com precisão pelos analistas do seu centro de operações de segurança (SOC) ou da equipe de resposta a incidentes cibernéticos (CIRT) é fundamental. Aqui estão algumas dicas para a verificação:

• Dados adjacentes: Verifique as informações adjacentes ao evento. Por exemplo, se um endpoint apresentar uma assinatura de vírus, verifique se há evidências de que o vírus está em execução antes de solicitar mais métricas de resposta.
• Análise de Inteligência: Entenda o contexto da informação. O simples fato de um endereço IP ter sido sinalizado como parte de uma botnet na semana passada não significa que ele ainda faça parte de uma botnet hoje.
• Prioridade inicial: Alinhe-se com as prioridades operacionais de incidentes e classifique os incidentes adequadamente. Certifique-se de que o nível correto de esforço seja aplicado a cada incidente.
• Análise cruzada: Procure e analise possíveis chaves compartilhadas, como endereços IP ou nomes de domínio, em várias fontes de dados para obter maior precisão na análise dos dados.

Uma vez que um evento é verificado, ele se torna uma investigação ou um incidente. Todos os incidentes devem então ser investigados e acompanhados pelas suas equipes de SOC ou CIRT, conforme definido no seu processo de investigação.

A plataforma SOAR da Swimlane pode automatizar a maior parte do processo de triagem de resposta a incidentes, incluindo a atribuição de tarefas de fluxo de trabalho e o enriquecimento de dados. Isso fornece à sua equipe o contexto necessário para realizar análises mais aprofundadas. Etapas adicionais no processo de resposta a incidentes, como pesquisas de inteligência de ameaças e etapas de remediação, também podem ser automatizadas. Com o SOAR, você pode melhorar significativamente a eficiência das suas operações de segurança, reduzindo riscos e aumentando a proteção contra ameaças.

Quer ver a automação da triagem de resposta a incidentes em ação? Assista ao nosso vídeo curto. vídeo.
Pronto para uma análise detalhada dos benefícios da automação de seus processos de triagem e resposta a incidentes em geral? Agende uma demonstração personalizada. Com a Swimlane, descubra soluções de segurança "Criadas por analistas, para analistas".

*Adaptado de um texto existente Segurança de Sincronia Postagem de blog.

Demonstração de automação da triagem de alertas do Splunk (4:11)

Este vídeo demonstra o processo automatizado de triagem de dados de alertas de segurança recebidos do Splunk. Nesta demonstração, os dados são adquiridos pelo Splunk, enriquecidos pelo VirusTotal e, em seguida, ações são tomadas por meio da integração com o Symantec Endpoint Protection caso sejam considerados maliciosos.

Assista agora