Utilizando Swimlane para detecção e resposta de endpoints

A detecção de endpoints é uma parte importante da postura de segurança de uma empresa moderna. À medida que o tráfego criptografado domina a internet e continua a ganhar participação de mercado, a detecção de intrusões baseada em rede e a identificação binária tornam-se cada vez mais difíceis.

Manual EDR

Uma plataforma de detecção e resposta de endpoints (EDR, na sigla em inglês) — embora ofereça visibilidade benéfica da atividade e dos binários dos endpoints — introduz seu próprio processo de análise, fluxo de trabalho e alterações de relatórios para um centro de operações de segurança (SOC, na sigla em inglês). Além disso, analistas treinados em análise tradicional de tráfego de rede podem estar menos familiarizados com as técnicas de pesquisa e análise relacionadas ao EDR.

Um fluxo de trabalho EDR manual comum para analistas pode ser semelhante ao seguinte:

Como mostra o gráfico, a maior parte do fluxo de trabalho requer intervenção manual direta. Pesquisa, investigação, determinação final, elaboração de relatórios e acionamento de uma equipe de remediação geralmente ficam a cargo de um analista do SOC, e a remediação em si (como restaurar uma estação de trabalho ou adicionar IPs a uma lista negra de firewall) fica a cargo de outra equipe. Esse processo oferece um amplo espaço para automação.

EDR assistido por automação

Com uma plataforma de automação como a Swimlane, grande parte do fluxo de trabalho de EDR pode ser automatizada, incluindo etapas demoradas, como pesquisa e geração de relatórios.

Um fluxo de trabalho EDR usando Swimlane pode ser semelhante ao seguinte:

Como demonstra o gráfico, a única etapa manual restante é determinar se um evento é suficientemente acionável para exigir remediação. O alerta inicial e o enriquecimento de dados alimentam o Swimlane — que realiza pesquisas e investigações adicionais — e apresenta todas as informações relevantes (pontuações de ameaças, classificações do VirusTotal, consultas WHOIS, etc.) ao analista em uma única tela, permitindo uma rápida determinação sobre a necessidade de remediação.

Caso seja necessária alguma correção, o analista pode simplesmente acionar a correção automatizada (por meio da capacidade de reversão do sistema da plataforma EDR, lista negra de firewall/gateway, etc.) diretamente do Swimlane, além de gerar um relatório automatizado contendo os detalhes do alerta, os resultados da pesquisa e a determinação final e os resultados da correção.

Dessa forma, o EDR é um candidato ideal para automação via Swimlane, permitindo que o analista maximize sua eficácia, minimize pesquisas manuais árduas e evite envolver equipes de rede ou sistemas ocupadas para ações de correção de baixo nível. Um processo de várias horas envolvendo diversas equipes pode ser reduzido a poucos minutos. Veja abaixo: