用于CrowdStrike,通过自动化工作流程每日定时获取新检测数据,利用VirusTotal增强威胁情报,创建Jira工单以便跟踪和解决事件,并在Slack中发送通知,确保安全团队及时响应。此流程有效提高了安全事件的处理效率和响应速度。
此工作流适合以下人群使用:
- 网络安全团队:需要自动化处理CrowdStrike检测的安全事件。
- IT运维人员:希望通过整合多种工具简化事件响应流程。
- 项目经理:需要跟踪和管理安全事件的进展。
- 开发者:希望通过API集成实现自动化的工作流程。
- 企业决策者:关注安全事件对业务的影响并希望提高响应效率。
此工作流解决了以下问题:
- 手动处理安全事件的低效:自动化从CrowdStrike获取检测数据,减少人工干预。
- 信息孤岛:通过整合VirusTotal和Jira,确保所有安全信息集中管理。
- 响应延迟:及时在Slack中通知团队,提高响应速度。
- 缺乏可追溯性:自动创建Jira工单,确保事件的跟踪和管理。
工作流过程详细说明:
1. 计划触发器:每天定时触发工作流,确保定期获取新检测数据。
2. 获取CrowdStrike检测数据:从CrowdStrike API获取状态为“新”的检测数据。
3. 分离检测结果:将获取的检测结果逐个处理,以便后续分析。
4. 获取检测详情:根据检测ID获取详细信息。
5. 分离行为:提取每个检测的行为信息,逐一分析。
6. 在VirusTotal中查找SHA:根据SHA256哈希查询VirusTotal,获取威胁情报。
7. 在VirusTotal中查找IOC:对于每个IOC值进行查询,获取相应的安全信息。
8. 设置行为描述:将收集到的信息格式化为易读的描述。
9. 合并行为描述:将多个行为的描述合并,以便于在Jira中使用。
10. 创建Jira工单:根据检测信息和合并的描述创建新的Jira工单。
11. 在Slack中发布通知:向团队发送Slack通知,提醒他们处理新的安全事件。
用户如何自定义和调整此工作流:
- 修改触发频率:根据需求调整计划触发器的时间设置。
- 更改CrowdStrike API查询参数:可以根据需要修改过滤条件,以获取特定类型的检测。
- 调整VirusTotal查询逻辑:根据实际情况修改查询的IOC或SHA256的获取方式。
- 自定义Jira工单内容:根据团队需求修改Jira工单的字段和描述内容。
- 更改Slack通知内容:可以自定义Slack通知的文本格式和接收用户,以满足特定的沟通需求。