Intégration de Firework avec Azure Sentinel : tirer parti des nouvelles fonctionnalités SOAR

Feu d'artifice Azure Sentinelle

Pour toute équipe de cybersécurité moderne, la collecte des journaux système dans un emplacement centralisé est insuffisant et ne constitue qu'une étape dans le processus. Afin de suivre le rythme des informations reçues, l'automatisation est cruciale. Microsoft Azure le reconnaît avec le développement récent de Sentinel en offrant une plate-forme qui non seulement agrège et ingère des journaux provenant de plusieurs sources, mais permet désormais une orchestration et automatisation de la réponse procédés.

La réduction du bruit grâce au score de risque n'est que la première étape

Jusqu'à présent, les utilisateurs de Firework recevaient des alertes par e-mail et pouvaient les hiérarchiser grâce à notre système de pointage automatisé, attribuant des scores plus élevés aux informations jugées plus critiques. L'examen humain restait cependant un goulot d'étranglement pour les organisations ayant une grande empreinte numérique ou des ressources limitées (une norme pour la plupart des équipes de sécurité). L'ingestion d'alertes Firework avec Azure Sentinel soulage considérablement la pression des équipes d'intervention en définissant des alertes, des règles d'automatisation et des playbooks qui automatisent l'analyse des journaux entrants, la création d'alertes ou d'incidents, et même la gestion de l'ensemble du cycle de vie de l'incident, sans avoir besoin de geste manuel. Jetons un coup d'oeil à un quelques cas d'utilisation spécifiques que nous avons développés.

Intégration de Firework avec les cas d'utilisation d'Azure Sentinel

Avertissement de fuite d'informations d'identification pour les employés et les clients

Notre premier cas d'utilisation est celui que seul un sous-ensemble de nos clients a intégré dans leur environnement de production. Bien que presque tous aimeraient le faire, la plupart n'ont pas les ressources nécessaires en temps ou en compétences techniques. Avec des feux d'artifice base de données de mots de passe divulguée, vous êtes averti chaque fois que l'e-mail d'un employé ou d'un client a été associé à un violation de données connue. Cependant, une fois que vous recevez la notification, il faut du temps pour avertir le propriétaire de chaque e-mail.

Feu d'artifice Azure Sentinelle

Nos Sentinel Playbook s'automatise tout ce processus, en envoyant un e-mail d'avertissement au propriétaire de l'adresse e-mail pour avertir d'une éventuelle violation. Il est même possible de se connecter à votre AD pour obtenir plus d'informations sur le compte, et automatiser la fermeture de l'alerte en cas de changement de mot de passe. Vous n'avez plus à gérer les informations d'identification divulguées et tous vos employés seront avertis en temps opportun.

Port ouvert oublié sur infrastructure sensible

Que ce soit sur le cloud ou sur site, les entreprises disposant de grandes infrastructures mettent souvent en place des réglementations strictes lors du déploiement de nouvelles ressources. Cependant, nous n'avons pas encore rencontré une équipe cloud et infrastructure qui ne soit pas submergée par les demandes, ce qui signifie que contrôler et suivre parfaitement les privilèges accordés est une tâche presque impossible.

C'est pourquoi, chez Flare Systems, nous nous appuyons souvent sur un concept popularisé par Ronald Reagan pendant la guerre froide : «faire confiance mais vérifier”. Nous avons vu de nombreux cas où «bizarre» les ports (8080, 8888, 9200, etc.) sur les infrastructures des clients sont ouverts pendant quelques minutes à quelques semaines, sans que les équipes de sécurité ou d'infrastructure ne soient averties.

Surveiller vos plages d'adresses IP dans Firework signifie recevoir des alertes lorsque de nouveaux ports ou hôtes sont disponibles sur l'Internet public, directement sur votre instance Azure Sentinel pour une correction quasi instantanée du risque. Par exemple, en plus d'avertir l'équipe infrastructure, il est possible de restreindre automatiquement (et peut-être temporairement) le groupe de sécurité relatif à cette instance spécifique.

Autres cas d'utilisation

De même, quand Firework trouve une clé API qui appartient à votre organisation et est actuellement disponible publiquement, vous pouvez configurer Playbooks pour qu'il déclenche votre mécanisme interne afin de désactiver les clés API.

Depuis le feu d'artifice surveille les buckets cloud accessibles au public sur Azure (ainsi qu'AWS), un avertissement d'alerte d'un stockage de compartiment Azure accessible au public, les playbooks pourraient être configurés pour restreindre automatiquement l'accès public aux ressources données, si certains critères sont remplis.

Prochaine étape dans le pipeline d'intégrations Firework

Reconnaissant l'utilité intégrations avec SIEM, SOAR et systèmes de billetterie peut être pour les clients, nous nous engageons à en ajouter davantage à Firework. Nous donnons la priorité aux systèmes qui sont utilisés par la plupart de nos clients. Ne hésitez pas à nous contacter pour en savoir plus sur notre feuille de route et nos partenariats potentiels.

Partager cet article

Équipe produit

Flare’s product team explores new technologies and processes that will help Flare stay ahead of the competition and guides the engineering team in the development of the product.

Contenu similaire