Kako generisati CrowdStrike RFM izvještaj sa vještačkom inteligencijom u Tines

Vođena od strane tima na platformi za orkestraciju, vještačku inteligenciju i automatizaciju Tines, biblioteka Tines sadrži unapred izgrađene tokove posla koje dele pravi praktičari sigurnosti iz cijele zajednice, a svi oni su besplatni za uvoz i implementaciju putem Community Edition platforme.

Njihov dvogodišnji “You Did What with Tines?!” takmičenje ističe neke od najzanimljivijih tokova posla koje su podnijeli njihovi korisnici, od kojih mnogi pokazuju praktične primjene modela velikih jezika (LLM) za rješavanje složenih izazova u sigurnosnim operacijama.

Jedan od nedavnih pobjednika je radni tok dizajniran za automatizaciju CrowdStrike RFM izvještavanja. Razvijen od strane Tom Powera, sigurnosnog analitičara na Univerzitetu Britanske Kolumbije, koristi orkestraciju, vještačka inteligencija i automatizaciju kako bi smanjio vrijeme potrošeno na ručno izvještavanje.

Ovdje ćemo podijeliti pregled toka posla, plus vodič korak po korak za njegovo pokretanje i pokretanje.

Problem – dugotrajno izvještavanje

Kreator toka posla, Tom Power, objašnjava: „Senzor CrowdStrike Falcon prelazi u režim smanjene funkcionalnosti (RFM), obično zato što je operativni sistem (OS) ili verzija kernela prestari ili previše novi da bi senzor podržao u režimu jezgra. sedmicu, SecOps bi se prijavio na Falcon konzolu i filtrirao konzolu za upravljanje za krajnje tačke u RFM-u za prošlu sedmicu.

Ovaj proces je pružio kritične podatke za identifikaciju ažuriranja kernela koja uzrokuju RFM, posebno za krajnje tačke Linuxa. Međutim, tim je zahtijevao da ručno provjeri da li je CrowdStrike izdao novu verziju senzora kompatibilnu s najnovijim ažuriranjima kernela.

“Cijeli proces je trajao oko 30 minuta svake sedmice”, dodaje Tom. “Tokom godine, to je sakupilo više od 25 sati vremena koje smo mogli potrošiti na druge prioritete cyber sigurnosti.”

Rješenje – automatsko RFM izvještavanje sa vještačkom inteligencijom

Tomov radni tok automatizicija praćenje i izvještavanje o Falcon Sensor RFM-u na svim hostovima. Koristeći Tinesov automatski način rada vođen vještačkom inteligencijom, generiše prilagođeni kod za pojednostavljenje kreiranja izvještaja. Tok posla ne samo da proizvodi redovne, konzistentne izvještaje, već i omogućava menadžmentu da prati trendove u RFM pojavama, podržavajući proaktivno upravljanje zdravljem sistema i brže donošenje odluka.

Automatski tok posla eliminiše potrebu za ručnim izvještavanjem omogućavajući analitičarima da podnesu zahtjeve putem jednostavnog web obrasca. U roku od nekoliko minuta, radni tok preuzima podatke, obrađuje ih i isporučuje djelotvoran izvještaj e-poštom, zajedno s detaljnim uvidima i CSV prilogom.

Primjer izlaza:

Evo primjera automatski generisanog emaila i izvještaja koji je tim primio:

Evo nekih od ključnih prednosti korištenja ovog procesa rada:

• Oslobađa analitičare da se fokusiraju na visokoprioritetne zadatke kibernetičke sigurnosti.
• Smanjuje ručni napor i mogućnost ljudske greške.
• Pruža dosljedne, pouzdane izvještaje za poboljšanu produktivnost.
• Poboljšava donošenje odluka pružanjem uvida u realnom vremenu.
• Podiže moral uklanjanjem zamornog i ponavljajućeg zadatka.

Pregled toka rada

Korišteni alati:

• Tines – platforma za orkestraciju toka posla, vještačka inteligencija i automatizaciju koja je popularna među sigurnosnim timovima. Moguće je koristiti besplatno Community Edition of Tines za izgradnju i pokretanje ovog radnog procesa ako nemate plaćeni nalog. Vještačka inteligencija mora biti omogućen na vašem kupcu.

• CrowdStrike – platforma za otkrivanje i odgovor endpoints (EDR). Ovaj tok posla se integriše sa CrowdStrike Falconovim API-jem za preuzimanje podataka o endpoints-a u režimu smanjene funkcionalnosti (RFM). Dok Falcon pruža robusnu vidljivost endpoints-a, nedostaje mu izvorna automatizacija za ponavljajuće RFM izvještaje.

Tok posla se pokreće kada se pošalje web formu, čime se pokreće proces generiranja CrowdStrike RFM izvještaja.

Prva radnja preuzima listu ID-ova uređaja iz CrowdStrike Falcon API-ja. Ako je lista veća od onoga što CrowdStrike vraća u prvoj grupi, vrši se višestruki pozivi za paginaciju kroz cijelu listu.

Nakon što se dohvate svi detalji o uređaju, tok posla ih konsoliduje u jedan resurs. Ovaj resurs služi kao osnova za analizu, gdje se broj Linux, Windows i Mac hostova izračunava i dodaje podacima.

Koristeći konsolidovani resurs, tok posla generiše HTML tabelu sa rezime da predstavi podatke u strukturiranom formatu. Ova tabela se zatim konvertuje u CSV datoteku, što je čini povoljno za potrebe izveštavanja.

CSV izvještaj se šalje e-poštom zainteresiranim stranama na pregled. Da bi se održala efikasnost i higijena podataka, tok posla čisti privremeni resurs nakon slanja e-pošte, osiguravajući da je spreman za sljedeći ciklus.

Automatizacijom ovih koraka, tok posla eliminiše ručni napor, smanjuje rizik od grešaka i pruža dosljedno, ažurno izvještavanje o uređajima u režimu smanjene funkcionalnosti u cijelom okruženju

Konfigurisanje toka posla – vodič korak po korak

1. Prijavite se na Tines ili kreirajte novi nalog.
2. Uvjerite se da je vještačka inteligencija omogućena na vašem kupcu. Za ovo morate biti vlasnik stanara. Odaberite padajući izbornik postavki računa u gornjem lijevom dijelu ekrana i označite polje za uključivanje vještačak inteligencija.
3. Kreirajte svoj CrowdStrike krendicijal. Na stranici s krendicijalima odaberite Nova krendicijal, pomaknite se dolje do krendicijala CrowdStrike i popunite potrebna polja.
4. Dođite do unaprijed izgrađenog toka posla u biblioteci .
5. Odaberite uvoz. Ovo bi trebalo da vas odvede direktno na vaš novi unapred izgrađen tok posla.
6. Konfigurišite svoje radnje. Na primjer, možda biste željeli urediti izgled stranice Tines koja pokreće tok posla.
7. Testirajte tok posla. Pošaljite sliku putem obrasca da testirate svoj radni tok.
8. Objavite svoj tok posla i podijelite URL stranice sa željenim korisnicima.

Ugradnja u druge platforme za automatizaciju

Možete koristiti drugu platformu za automatizaciju bez kodiranja za izgradnju slične usluge, iako je vrijedno napomenuti da su neke od funkcija u ovom toku rada jedinstvene za Tines:

• Stranice: Ovaj radni tok se pokreće slanjem obrasca na web stranici. Ovo je napravljeno pomoću funkcije Tines’ Pages.
  • Alternativa: Koristite zakazani okidač da biste pokrenuli tok posla.
• Transformacija događaja u automatskom režimu: Ova funkcija koristi vještačku inteligenciju za vrijeme izgradnje za sastavljanje Python koda na osnovu smjernica i unosa koje pruža graditelj. Nakon što sačuvate promjene, kod je zaključan na mjestu. To znači da kada se radnja pokrene, izvršava se samo kod, a vještačka inteligencuija nije uključena.
  • Alternativa: Napišite Python kod ručno da transformišete svoje podatke.

Izvor:The Hacker News