Utilizando o pacote de produtos McAfee e o Swimlane para automatizar a resposta a incidentes.

A McAfee possui um conjunto robusto de produtos de cibersegurança que diversas organizações líderes utilizam como plataformas para operações de segurança e resposta a incidentes. Do SIEM à proteção de endpoints, a McAfee oferece uma solução para praticamente todas as etapas da resposta a incidentes. O Swimlane integra-se com a maioria dessas ferramentas e produtos essenciais, o que possibilita automatizar grande parte dos processos que um analista realizaria manualmente durante uma investigação.

A equipe da Swimlane desenvolveu integrações com os seguintes produtos da McAfee:

• McAfee ESM (SIEM):
  • Ingerir alarmes não reconhecidos
  • Recuperar eventos básicos que acionam uma regra de correlação
• McAfee ePO (EDR):
  • Aplicar uma etiqueta a um host específico ou a um conjunto de hosts.
  • Remover uma tag de um host específico ou de um conjunto de hosts.
  • Extraia todos os eventos de ameaça relacionados de um host.
  • Obtenha todas as informações relevantes sobre um host gerenciado pelo ePO.
• McAfee OpenDXL:
  • Consultar hash MD5
  • Envie o hash MD5 para o banco de dados TIE com uma pontuação de reputação.
  • Transmita um evento sobre o tecido DXL
• McAfee ATD:
  • Envie arquivos para análise em ambiente de teste.
  • Recuperar resultados de uma digitalização concluída.
• McAfee Web Gateway:
  • URLs de lista negra/permitida
  • Domínios de lista negra/lista branca

Como o Swimlane orquestra e automatiza alarmes com as ferramentas da McAfee?

Com essas ferramentas implementadas, a Swimlane pode automatizar e orquestrar um alarme disparado no ESM e, em seguida, remediar e responder ao incidente usando as integrações desenvolvidas com a McAfee. Um exemplo prático seria se um funcionário acessasse um site que já havia sido sinalizado pelo McAfee ESM. Assim que o alarme fosse acionado, a integração da Swimlane com o McAfee ESM o registraria e o configuraria como reconhecido. Os detalhes do alarme incluiriam o IP do host, o nome do host, a URL à qual o usuário se conectou, bem como outras informações relevantes sobre o incidente. A Swimlane, usando o nome do host do computador do usuário, aplicaria automaticamente uma tag no McAfee ePO, que iniciaria uma verificação de vírus nesse host. Após a conclusão da verificação, a Swimlane, usando a integração de Eventos de Ameaças do ePO, recuperaria todos os detalhes da verificação e os adicionaria à investigação em andamento. Nessa situação, o usuário baixou acidentalmente um binário malicioso, cujo caminho para o binário estava incluído no evento de ameaça.

Neste ponto do procedimento, a equipe de perícia digital entraria em ação, extrairia o arquivo binário do computador do usuário e o anexaria à investigação em andamento. Uma vez anexado o arquivo, a Swimlane o enviaria ao McAfee ATD para análise em sandbox e cálculo do valor de hash do binário. Os resultados dessa análise mostrariam que o binário se conecta a dois outros domínios considerados indicadores de comprometimento (IOCs) maliciosos.

Devido à gravidade desses indicadores de comprometimento (IOCs), o Swimlane iniciaria automaticamente um plano de ação para remediação. As etapas de remediação definidas para este caso de uso estabelecem que o Swimlane deve aplicar automaticamente uma etiqueta ao McAfee ePO para remover o computador da rede, permitindo que a equipe de perícia digital conclua seu conjunto de etapas de remediação. Em seguida, o Swimlane enviaria o hash MD5 para o banco de dados TIE com alta pontuação de reputação, utilizando a integração desenvolvida para o McAfee ATD. Por fim, utilizando a integração com o McAfee Web Gateway, os IOCs seriam submetidos para inclusão na lista negra do proxy.

Como a Swimlane pode ajudar

Esses tipos de eventos podem ocorrer várias vezes ao dia e um analista pode levar de 30 a 60 minutos por investigação. Com a capacidade do Swimlane de automatizar e orquestrar fluxos de trabalho complexos, não só se reduz significativamente o tempo de resolução de um incidente, como também se aumenta o valor e o investimento nos produtos McAfee. Essas integrações, juntamente com os fluxos de trabalho criados para elas, ajudam as organizações a aprimorar seus procedimentos operacionais de cibersegurança e permitem que elas retenham o conhecimento e os processos dentro do Swimlane.

Se você quiser saber mais sobre como o Swimlane se integra ao pacote de produtos McAfee, assista ao nosso vídeo de integração.