Dicas para transformar a comunicação de SecOps e agilizar a resolução de incidentes.

A maior irritação dos analistas de segurança

À medida que as organizações de segurança se tornam mais complexas e interconectadas, os profissionais de segurança muitas vezes acabam atuando como um ponto central de colaboração com pessoas fora de suas respectivas equipes. Essa responsabilidade pela comunicação interfuncional recai sobre suas já atarefadas atividades diárias.

Um dia na vida de um centro de operações de segurança (SOCO analista explica da seguinte forma:

1. O automação de segurança A plataforma recebe um alerta. Ela processa e aprimora automaticamente o alerta antes de notificar o analista. Isso fornece ao analista o máximo de informações pertinentes possível para a investigação subsequente.

2. Após analisar o caso, o analista deve confirmar a finalidade e a natureza esperada da atividade do usuário. Neste exemplo, o usuário está dentro da empresa, mas fora do departamento de segurança.
   
3. Em seguida, o analista de segurança entra em contato com o usuário e atualiza o caso, mas precisa aguardar a resposta do usuário antes de prosseguir com a investigação. Enquanto isso, o Analista de SOC passa para o próximo alerta.
   
4. Após um período de tempo arbitrário, o usuário vê a mensagem do analista e responde.

5. Só então o analista de segurança poderá continuar a investigação. Após a troca de tarefas, o analista precisa de uma revisão dos detalhes do caso.

Esse processo se mostra frustrante para os analistas e causa atrasos em toda a resolução do alerta. Os analistas não têm visibilidade sobre o tempo que o usuário levará para responder, o que aumenta sua carga de trabalho, pois precisam se familiarizar novamente com o caso.

Poder para o profissional: o valor da comunicação fluida 

Turbina Swimlane Oferece um módulo de colaboração como extensão das funcionalidades da sua plataforma de automação de segurança. A extensão de colaboração utiliza componentes modulares e reutilizáveis para criar modelos predefinidos que enviam mensagens contextuais para sistemas de mensagens externos, como e-mail, Slack ou Microsoft Teams. Essas mensagens podem acionar uma ação com base em uma quantidade arbitrária de opções definidas pelo usuário, como: aprovar, confirmar, negar ou solicitar contato. Essas funcionalidades incluídas na extensão de colaboração permitem que usuários que não utilizam o Swimlane respondam facilmente a mensagens geradas pelo Turbine e participem de fluxos de trabalho de segurança.

Continue lendo para saber mais sobre As 3 principais maneiras de aproveitar a extensão da colaboração com a Turbine.

1. Aprimorar os sinais de detecção com triagem centrada no usuário

Primeiramente, vale a pena explicar o conceito e o escopo de “detecção”. Detecção é a agregação e correlação de um ou mais eventos em um alerta acionável. Com a introdução da automação de segurança em uma Operação de Segurança moderna (SecOpsNa pilha tecnológica, existe uma fase adicional chamada decoração de alertas. Consultas adicionais, enriquecimentos e outras atividades automatizadas são realizadas para melhorar a compreensão do alerta por parte dos analistas.  

A extensão de colaboração Turbine adiciona mais uma camada de análise de detecção às capacidades modernas de SecOps: a camada de triagem centrada no usuário. O sistema carrega automaticamente um modelo predefinido, aprimorado com o contexto do alerta. O usuário afetado na organização recebe uma mensagem com perguntas como "Você realizou esta atividade?" ou "Você fez login deste local neste horário?". Atividades de automação subsequentes são acionadas com base na seleção do usuário em uma lista predefinida de opções.

Essa interação do usuário amplia o escopo da detecção, economizando tempo e esforço manual para o analista do SOC. Somente este exemplo pode economizar horas de trabalho dos analistas todas as semanas.

2. Automatizar ações aprovadas

Não apenas uma organização de segurança está cada vez mais interconectada, mas também o departamento de tecnologia da informação (TI) como um todo. O uso crescente de microsserviços dificulta a compreensão completa de como os esforços individuais para reduzir problemas afetam o sistema como um todo. Devido a essa interconectividade e complexidade, é comum que as atividades de mitigação de ameaças causem interrupções nos negócios. Um analista de SOC não pode ser também o especialista em toda essa infraestrutura interconectada. Portanto, muitas equipes de segurança precisam propor ações de mitigação às principais partes interessadas antes de agir. Essa demora entre perguntar, obter uma resposta e agir com base nessa resposta aumenta o tempo crítico para a mitigação de ameaças. 

A extensão de colaboração Turbine permite que os analistas enviem solicitações de aprovação automatizadas a especialistas no assunto de forma rápida e eficiente. Ao receber uma resposta de uma lista predefinida de opções, o Turbine pode executar automaticamente a ação mitigada, sem a necessidade de intervenção adicional do analista.

3. Simplifique as notificações da equipe

O papel do analista, auxiliado por detecções automatizadas, pode ser comparado a encontrar uma agulha num palheiro. Mas, à medida que as fontes de telemetria e seu volume continuam a crescer, o número de detecções automatizadas também aumenta, transformando o desafio de encontrar uma agulha num palheiro em encontrar uma agulha num palheiro de agulhas. Diante disso, torna-se muito difícil para um analista identificar a agulha mais crítica.
O Turbina A extensão de colaboração permite que os analistas do SOC enviem mensagens para um canal de comunicação externo à plataforma de automação de segurança, como o Slack ou o Microsoft Teams. Isso possibilita ações iniciais rápidas a partir de uma lista de opções predefinidas. detectar, validar, escalar!

Veja em ação

Para um passo a passo mais detalhado, confira nossa demonstração em vídeo. Veja como o Turbina Swimlane A extensão de colaboração facilita muito a comunicação.

Em resumo, a Turbine reinventa a colaboração em sua essência, priorizando a melhoria e a aceleração da comunicação e dos tempos de resposta. Essa mudança empodera os profissionais, devolvendo-lhes o controle. A automação da Turbine atrai a atenção dos analistas, contribuindo para sua eficácia no cenário operacional.

Se você ainda não teve a oportunidade de explorar a Swimlane Turbine, recomendamos que solicite uma visita. demonstração aqui.