Vai al contenuto

Applicazione di Gestione di Casistiche e Incidenti (CIM)

Il CIM funge da punto centrale di interazione per un team che opera nell'ambito della sicurezza. Puoi utilizzare questa applicazione in modo indipendente o in combinazione con una soluzione come la SOC.

Come Funziona

L'applicazione di Gestione di Casistiche e Incidenti (CIM), come parte della Soluzione SOC, funge da punto centrale di interazione per il team che si occupa della sicurezza. L'applicazione fornisce le seguenti capacità pratiche:

  • Triage unificato dei segnali da triage degli alert, triage delle frodi e creazione manuale di playbook con automazioni per la creazione di record;
  • Interfaccia di arricchimento dell'Intelligence sulle minacce (TI);
  • Vari punti di avvio per l'orchestrazione;
  • Triage del segnale, gestione di casi, gestione degli incidenti, dettagli delle indagini, articoli della Knowledge Base, rimedio, correlazione e rapporti di attività post intervento;
  • Spazi dedicati per personalizzazioni;
  • Raccolta automatica di metriche;
  • Modalità avanzata per il troubleshooting e il fine tuning;

Pagina Principale della CIM

Dopo aver effettuato l'accesso, segui questi passaggi per accedere alla homepage della CIM.

  1. Seleziona il tuo tenant.

    • Se hai accesso a più tenant, assicurati di essere nel tenant corretto. Se hai accesso a un solo tenant, verrà selezionato automaticamente il tenant corretto.

  2. Seleziona lo spazio di lavoro Soluzioni SOC o lo spazio di lavoro desiderato.

  3. Nel riquadro di navigazione a sinistra, fai clic su RECORD DELL'APPLICAZIONE.

  4. Seleziona Gestione di Casistiche e Incidenti.

  5. Seleziona un record CIM dalla lista dei record CIM nel report predefinito.

Puoi visualizzare un record dell'applicazione CIM. È possibile vedere immediatamente i dettagli del record nel riquadro di sinistra, tra cui tipo di segnale, verdetto dell'intelligence, fonte del segnale, ecc. Inoltre, ci sono sezioni espandibili e comprimibili che forniscono ulteriori informazioni sul record.

Azioni di Creazione del Record

Quando viene creato un nuovo record nell'applicazione CIM, vengono eseguite due azioni di automazione per arricchire il segnale con verdetti osservabili e un brief automatico.

Brief Automatico

Al record dell'evento sull'applicazione CIM è associato un riepilogo generato automaticamente.

Punti di Avvio dell'Orchestrazione

Questi rappresentano punti naturali nel ciclo di vita del record all'interno dell'applicazione di Gestione di Casistiche e Incidenti in cui può idealmente avere luogo l'automazione/orchestrazione configurabile.

Tipo: Segnale

I record arrivano nell'applicazione come Segnali. I Segnali rappresentano un evento in arrivo da un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) o da un sistema di rilevamento e risposta agli endpoint (EDR), un'email di phishing segnalata o una indicazione ad hoc di attività sospetta creata manualmente. Un segnale in arrivo deve avere uno dei seguenti valori come fonte:

  • Alert
  • Email Phishing
  • Manuale

Per reclamare il record e intraprendere ulteriori azioni.

  • Per reclamare il record, fai clic su Reclama.

Una volta reclamato il record, diventi il Proprietario Attuale e lo stato del record si aggiorna a "In corso". Dopo aver valutato l'attività, è possibile far escalation il record a un caso nell'evenienza in cui il caso sia un vero positivo o vengano raggiunte altre soglie (le soglie sono determinate dalle policy della tua organizzazione).

Richiedere l'assegnazione del record per intraprendere ulteriori azioni

Tipo: Caso

L'elevazione a un caso cambia semplicemente il valore del Tipo a "Caso". È importante sottolineare nuovamente che questo è un importante punto di avvio per l'Orchestrazione.

Nel lavorare su un caso, potrebbe essere un'ottima opportunità per identificare segnali o casi aggiuntivi che possono essere correlati. Al momento, la funzione di Correlazione nella Soluzione SOC è un semplice campo di riferimento. Le future versioni della Soluzione SOC cercheranno di ampliare la capacità di Correlazione.

Tipo: Incidente

In determinate circostanze, quando si lavora su un caso, un operatore può scegliere di Dichiarare un Incidente. Generalmente, ciò avviene quando viene raggiunta una soglia di impatto specificata che richiede passi aggiuntivi, segnalazioni, comunicazioni agli interessati, ecc.

  1. Per dichiarare un incidente, clicca su Dichiara Incidente.

Ciò cambia il valore del Tipo a Incidente. Inoltre, compare un banner rosso in alto al record per accentuare la criticità del record.

A mano a mano che l'incidente viene mitigato può essere fatta de-escalation dell'incidente. De-escalation di un incidente è un'indicazione che l'incidente è stato mitigato e le squadre di intervento possono sospendere le operazioni di emergenza.

  1. Per fare de-escalation di un incidente, clicca su De-Escalation dell'Incidente.

Personalizzazione

Il nuovo CIM fornisce uno spazio dedicato in cui è possibile aggiungere campi personalizzati senza influenzare l'aspetto e la sensazione dello spazio principale dell'applicazione.

Campi Personalizzati

L'applicazione fornisce alcuni campi di esempio per dimostrare i possibili casi d'uso per questa sezione.

Metriche

La soluzione ha la capacità di catturare metriche iper-granulari. Durante il ciclo di vita di un record, esistono punti strategici in cui viene catturato un punto dati o un timestamp. Il flusso previsto e i punti di acquisizione dati sono visualizzabili in questo diagramma:

Alt text

Campi Metriche Granulari

Nel record, è possibile visualizzare le metriche. Clicca sulla scheda Metriche Granulari. Queste metriche alimentano vari report di dashboard, come MTTD, MTTR, Dwell Time, ecc.

Modalità Avanzata

L'applicazione CIM dispone di una casella di controllo Avanzata che, quando selezionata, mostra la funzionalità, i widget e i riferimenti gestiti dell'applicazione.

Ci sono sei sezioni aggiuntive espandibili e comprimibili su un record CIM. La documentazione seguente fornisce dettagli su ciascuna sezione e su come interagisce nel record CIM.

Dettagli Investigativi

La sezione Dettagli Investigativi contiene un campo di riepilogo compilabile per il record corrente e che verrebbe incluso in un rapporto di azioni successive (AAR) generato automaticamente (vedi sezione Attività Post Incidente). Inoltre, questo potrebbe essere utilizzato per altri casi d'uso come la Soluzione di Collaborazione. La sezione Commenti dell'Investigazione mostra i commenti che non sono inclusi nell'AAR ma sono contenuti nella soluziione SOAR. La sezione Fasi di Attacco fornisce un luogo per inserire o rivedere le coppie Tecnica/Tattica MITRE ATT&CK utilizzate per alimentare il pannello MITRE nella Soluzione SOC. Puoi anche popolare manualmente la sezione di trascinamento e rilascio Blocco delle prove con file vari correlati all'indagine.

Articoli della Knowledge Base

Come suggerisce il nome, la sezione Knowledge Base contiene passi per il rimedio precedentemente creati dall'utente per questo record. Utilizzando questa sezione, è possibile accedere a lezioni apprese e altri suggerimenti su quel record o su qualcosa che ha informazioni correlate (ad esempio, un tipo di segnale simile). Gli Articoli della Knowledge Base esistenti (KBA) contengono l'ID di tracciamento per il corrispondente KBA, il titolo dell'allarme, il riepilogo del contesto, la guida e l'ultima data di aggiornamento.

  1. Per aggiungere un nuovo KBA al record corrente, nella tabella degli Articoli della Knowledge Base, clicca sull'icona plus.

  2. Clicca sull'icona lente d'ingrandimento per cercare un KBA.

  3. Se necessario, clicca sull'icona cestino per eliminare un KBA dal record.

  4. Per assicurarti di avere l'ultimo e migliore set di KBA per quel record dopo le modifiche apportate alla tua indagine come mappature MITRE ATT&CK, clicca su Aggiorna Collegamenti Knowledge Base.

Intelligence sulle Minacce

Verdetto di Intelligence

Se vengono scoperti osservabili nel segnale in entrata tramite un allarme o un'e-mail di phishing, quegli osservabili vengono automaticamente analizzati e arricchiti dai fornitori di TI configurati attraverso l'applicazione TI (vedi l'applicazione Threat Intelligence per ulteriori dettagli). In base ai risultati del Fornitore di Intelligence Primaria scelto, il verdetto più critico viene passato al valore di Verdetto di Intelligence. La criticità del verdetto è ordinata da più a meno critica:

  • Malevolo

  • Sospetto

  • Benigno

  • Sconosciuto

La sezione Threat Intelligence visualizza i risultati di arricchimento del Fornitore di Intelligence Primaria per ciascun osservabile analizzato (widget) e consente all'utente di eseguire un arricchimento ad-hoc dell'osservabile (Osservabile, Tipo di Osservabile, Aggiungi Osservabile) durante lo sviluppo dell'indagine. Questa è l'opzione più semplice per visualizzare l'IT associata a un record CIM specifico.

Questa sezione permette anche l'esportazione dei dati TI. Nei menu a discesa, seleziona l'Indicatore Selettore desiderato, il Selettore Risultati, il Selettore Fornitore e l'Operatore Filtri.
Una volta ottenute le informazioni desiderate, clicca su Esporta per scaricare i dati in un file .csv. Il file .csv fornisce i dettagli TI seguenti sui dati selezionati:

  • ID di tracciamento

  • Indicatore

  • Permalink (Una risorsa come un arricchimento osservabile su VirusTotal/Recorded Future)

  • Strumento (ad esempio, VirusTotal)

  • Etichetta (ad esempio, Malevolo, Sospetto ecc.)

  • Punteggio

  • Ultimo Aggiornamento

Rimedio

L'applicazione Case and Incident Management (CIM) ha una sezione Rimedio con diverse schede, che eseguono otto playbook diversi per azioni di rimedio per un record CIM. Come orchestratore, questo fornisce un modo per intraprendere varie azioni di rimedio in base alle informazioni del record CIM.

Blocca/Sblocca Osservabili

Come orchestratore, è necessario completare le configurazioni per il playbook CIM - Blocca Osservabili prima di aggiornare il record CIM. La prima azione è un segnaposto. In caso si voglia sostituire questa azione con un'azione di rimedio o un playbook nidificato. Successivamente, configurare l'azione per il compito che si desidera eseguire contro gli osservabili che si configureranno successivamente nel record CIM.

  1. Da ORCHESTRAZIONE, fai clic su Playbook.

  2. Cerca e apri il playbook CIM - Blocca Osservabili.

  3. Nel segnaposto della prima azione, sostituisci e configura il rimedio desiderato.

Questo può essere un playbook nidificato o un'azione che hai già configurato. Ad esempio, un playbook che richiama un firewall per bloccare gli indirizzi IP o isolare gli host su EDR. Il playbook riceve l'ID di tracciamento per il ticket corrente e i valori che stai passando. Le altre azioni del playbook generano la risposta in uscita e aggiornano il record CIM. Ora vai al record desiderato e scorri fino alla sezione Rimedio e alla scheda Blocca/Sblocca Osservabili.

  1. In questa scheda, inserisci gli osservabili che desideri bloccare, quindi fai clic su Blocca Osservabili.

Una volta cliccato il pulsante, esegue un playbook e restituisce i risultati nel campo Risposta Blocca Osservabili con una risposta che mostra cosa ha fatto il playbook e su cosa ha agito con data/ora.

Per sbloccare un osservabile, segui i passaggi sopra per il playbook CIM - Sblocca Osservabili e inserisci gli osservabili che desideri sbloccare, quindi fai clic su Sblocca Osservabili. Ancora una volta, la risposta viene visualizzata con una data/ora.

Importante! Mentre gli orchestratori devono creare i playbook nidificati e/o le azioni all'interno dei playbook CIM - Blocca Osservabili e CIM - Sblocca Osservabili, gli operatori possono modificare il contenuto della scheda Rimedio nel record CIM. La modifica degli osservabili del record CIM non richiede un accesso di livello orchestratore. Lo stesso vale per tutti i playbook che vengono eseguiti nella scheda Rimedio.

Disabilita/Abilita Utenti

Questa scheda funziona come la scheda Blocca/Sblocca Osservabili. Gli orchestratori devono prima accedere ai playbook CIM - Disabilita Utenti o CIM - Abilita Utenti per sostituire l'azione segnaposto con un playbook o un'azione annidata configurata che esegue l'esito desiderato.

  1. Naviga al record CIM desiderato e alla sezione Rimedi.

  2. Nella scheda Disabilita/Abilita utenti, inserisci gli utenti che desideri disabilitare e/o abilitare.

  3. Clicca su Disabilita Utenti e/o Abilita Utenti.

Ciò esegue il playbook appropriato e restituisce i risultati nei campi Risposta Disabilita Utenti e/o Risposta Abilita Utenti con una risposta che mostra cosa hanno fatto i playbook e su cosa hanno agito con data/ora.

Isola/Riunisci Host

Questa scheda funziona anche come la scheda Blocca/Sblocca Osservabili. Gli orchestratori devono prima accedere ai playbook CIM - Isola Host o CIM - Riunisci Host per sostituire l'azione segnaposto con un playbook o un'azione annidata configurata che esegue l'esito desiderato.

  1. Naviga al record CIM desiderato e alla sezione Rimedi.

  2. Nella scheda Isola/Riunisci Host, inserisci gli host che desideri isolare o riunire.

Questo è comune con i casi d'uso EDR.

  1. Clicca su Isola Hosts e/o Riunisci Hosts.

Ciò esegue il playbook appropriato e restituisce i risultati nei campi Risposta Isola Hosts e/o Risposta Riunisci Hosts con una risposta che mostra cosa hanno fatto i playbook e su cosa hanno agito con data/ora.

Avvisa i Manager

Questa scheda funziona come la scheda Blocca/Sblocca Osservabili. Gli orchestratori devono prima accedere al playbook CIM - Avvisa i Manager per sostituire l'azione segnaposto con un playbook o un'azione annidata configurata che esegue l'esito desiderato.

  1. Naviga al record CIM desiderato e alla sezione Rimedi.

  2. Nella scheda Avvisa i Manager, inserisci l'indirizzo email del manager per avvisare il manager di un evento di sicurezza.

  3. Clicca su Avvisa i Manager.

Ciò esegue il playbook appropriato e restituisce i risultati nel campo Risposta Manager Avvisati con una risposta che mostra cosa ha fatto il playbook e su cosa ha agito con data/ora.

Ricerca SIEM

Questa scheda funziona come la scheda Blocca/Sblocca Osservabili. Gli orchestratori devono prima accedere al playbook CIM - Query SIEM per sostituire l'azione segnaposto con un playbook o un'azione annidata configurata che esegue l'esito desiderato.

  1. Naviga al record CIM desiderato e alla sezione Rimedi.

  2. Nella scheda Ricerca SIEM, inserisci i dati della query SIEM.

Un buon caso d'uso è eseguire un'indagine su un indirizzo IP (osservabile) per vedere se si verifica in altri luoghi nel tuo ambiente. Inserisci l'osservabile nel campo di query SIEM e clicca sul pulsante per eseguire il playbook e ottenere i risultati.

  1. Clicca su Query SIEM.

Ciò esegue il playbook appropriato e restituisce i risultati nel campo Risposta Query SIEM con una risposta che mostra cosa ha restituito il tuo SIEM e una tabella che può visualizzare eventi SIEM in formato JSON standardizzato. La tabella consente anche la possibilità di filtrare in base a colonne o valori.

Correlazione

La nostra soluzione SOAR può correlare record, consentendo di confrontare un nuovo record con un record precedente che ha chiavi di correlazione. Nell'applicazione di Case and Incident Management (CIM), sono presenti informazioni sulla correlazione nel record CIM in una sezione designata e sulla scheda Supporto.

Un'azione di correlazione si verifica ogni volta che viene creato un record. Dalla scheda Supporto su un record CIM, la sezione Campo di Supporto Correlazione accoglie 13 campi chiave di correlazione (osservabili) dai playbook Process Alerts o Process Emails. Dopo che avviene la correlazione, il SOAR esegue un playbook che estrae gli ID di tracciamento per i record correlati.

Nel record di esempio, CIM-241 mostra la sezione Correlazione con gli ID di tracciamento correlati nei record CIM-244, CIM-243, CIM-245 e CIM-242. Le informazioni del titolo, dello stato, del verdetto di intelligence, del verdetto manuale e delle informazioni brevi automatizzate di ciascun record vengono visualizzate nella tabella delle Correlazioni.

  1. Per vedere un record specifico in dettaglio, clicca sull'ID di tracciamento corrispondente.

Il record selezionato si apre in una finestra popup. Clicca fuori dalla finestra per tornare al tuo record attuale.

Le informazioni non vengono visualizzate solo in questa sezione, ma c'è anche un widget sotto la sezione BREVE AUTOMATIZZATA chiamato Records. La sezione Records fornisce una rappresentazione più visuale dei record attuali e correlati con dettagli del record che evidenziano dati importanti e l'opzione di esportare i dati di quel record in un file .csv.

Attività Post Incidente

Su un record di Case and Incident Management (CIM), questa sezione ha un pulsante Genera Report Dopo le Azioni.

Quando clicchi su questo pulsante, il SOAR raccoglie i punti dati dal tuo record, li passa a uno script che genera un report HTML, quindi converte quel report in un file PDF facilmente comprensibile come report dopo azioni (AAR).

  1. Dalla sezione Attività Post Incidente, clicca su Genera Report Dopo le Azioni.

  2. Clicca sull'icona Download per scaricare il PDF o clicca direttamente sul nome del file per visualizzare anteprima del file.

Il PDF si apre dopo il download o la visualizzazione. Il file ha un layout di facile lettura che include le seguenti informazioni per quel record:

  • Numero di caso

  • Breve automatico

  • Riepilogo dell'indagine

  • Azioni di rimedio intraprese

  • Riepilogo della cronologia

  • Informazioni sull'handler dell'incidente

Se hai una copia locale di un AAR e vuoi aggiungerla al record, trascina semplicemente il file nella sezione Rapporto Dopo le Azioni.

Suggerimento: Se un orchestratore desidera regolare le informazioni restituite nel file PDF AAR, è possibile navigare e aprire il playbook CIM - Genera Rapporto Dopo le Azioni, cliccare sull'azione Genera Rapporto HTML e cliccare su Configura. Dal pannello Script, utilizzando HTML, è possibile modificare i dati restituiti.

Applicazione Threat Intelligence

L'applicazione TI arricchisce gli osservabili provenienti da CIM. Tutti gli osservabili univoci provenienti da un segnale in entrata nell'applicazione CIM generano un nuovo record TI.

Fornitore Principale di Intelligence

In base al valore del tipo osservabile, viene selezionato il Fornitore Principale di Intelligence (PIP) appropriato. L'arricchimento risultante è in cima all'applicazione. I valori dell'arricchimento PIP determinano il Verdetto di Intelligence, come menzionato in Applicazione di Case and Incident Management.

Altri Fornitori

Di nuovo, in base al valore del tipo osservabile, altri fornitori di intelligence arricchiscono l'osservabile. I risultati di questi fornitori, pur non contribuendo al Verdetto Primario di TI, sono visibili direttamente nel Record TI in un'apposita widget espandibile. I dettagli chiave dell'arricchimento sono visualizzati con la possibilità di fare clic sulla card del widget per espandere e visualizzare il JSON grezzo.