Swimlane ficou em segundo lugar no Hackathon de Segurança do Microsoft Graph.

Poucas semanas após começar na Swimlane, nosso CEO Cody CornelEu mencionei o Hackathon de Segurança do Microsoft Graph—organizado pela equipe de Segurança do Microsoft Graph e pelo DevPost. Depois de montar uma equipe e trabalhar muito, fomos notificados ontem de que Nossa inscrição ficou em segundo lugar.!

Estávamos extremamente entusiasmados por participar deste evento único, pois estávamos prestes a iniciar o desenvolvimento do nosso produto. API de segurança do Microsoft Graph Este pacote seria a oportunidade perfeita para demonstrarmos o poder do Swimlane.

Nossa inscrição para o Hackathon de Segurança do Microsoft Graph

Após uma sessão de brainstorming com outros engenheiros, decidimos que não queríamos apenas usar os dados abrangentes provenientes das APIs de Segurança do Microsoft Graph. Queríamos fornecer contexto adicional sobre os alertas de segurança do Graph para que outras equipes internas pudessem utilizar essas informações para proteger suas respectivas áreas da organização.

Nossa entrada intitulada “Microsoft Graph Security – Enriquecimento de Alertas de Segurança” concentra-se no consumo de alertas da API Microsoft Graph Security. O Swimlane ingere esses alertas diariamente (de forma configurável). Após a ingestão de cada alerta, analisamos todos os valores na resposta JSON em busca de endereços IP, hashes ou URLs que correspondam a determinados padrões de expressão regular. Se algum dado identificado for encontrado, criamos um registro de aplicativo separado contendo detalhes sobre o Alerta de Segurança do Graph.

Em nosso novo aplicativo — que contém as descobertas extraídas — realizamos o enriquecimento usando cinco fontes diferentes. Para este hackathon, limitamos a cinco, mas você pode usar qualquer número de fontes de enriquecimento que desejar.

Apresentamos aqui três das fontes de enriquecimento e suas respectivas descobertas. Utilizamos nossos pacotes existentes para VirusTotal, Análise Híbrida e ThreatMiner. Essas fontes de enriquecimento retornam uma pontuação de ameaça individual, bem como contexto adicional que podemos usar ao gerar nosso feed interno de inteligência de ameaças.

Após a conclusão de todas as nossas integrações em um registro individual, um feed de ameaças é gerado automaticamente com base em um formato predefinido. Em seguida, utilizamos nosso GitHub O pacote permite anexar automaticamente as informações identificadas a um repositório interno do GitHub, para que outras equipes possam usar essas informações em suas iniciativas de busca de ameaças ou para integrá-las a outros serviços da organização. As possibilidades são infinitas.

Este registro contém muitas informações, então utilizamos o recurso integrado do GitHub, o "GitHub Pages", para visualizar melhor os dados adicionados aos nossos arquivos.

Com nossa proposta, sabíamos que queríamos demonstrar o poder da orquestração e automação de segurança, mas não queríamos deixar de lado a peça crucial: a resposta!

A parte da resposta da nossa proposta inclui a capacidade de detectar automaticamente ameaças que ultrapassem um limite configurável e adicionar uma regra de firewall à lista de bloqueio de um firewall Palo Alto Panorama.

Mesmo que você não tenha um Palo Alto Panorama, nosso envio (e Swimlane) é totalmente personalizável. Isso significa que você pode adicionar o bloqueio a qualquer número de dispositivos, aplicativos de proteção de endpoint, proxies, etc.

Estamos felizes por nossa proposta ter sido selecionada como a segunda colocada na competição deste ano, e a Swimlane aguarda ansiosamente os futuros eventos de hackathon que demonstrarão o poder do SOAR.