Das Projekt: Integration von SIEM mit dem Ticketsystem
Der Kunde wünschte sich, dass Tickets im Ticketsystem automatisch und in Echtzeit erstellt werden, wenn ein Verstoß im SIEM eine Magnitude von mehr als 5 erreicht.
Vorteile
- Automatisierung
- SOAR (Security Orchestration, Automation, and Response)
- Schnellerer Incident-Response-Prozess
Lösung
Zunächst führten wir eine Untersuchung zur Integration von SIEM mit dem Ticketsystem durch. Da es von den Anbietern keine Dokumentation gab, erstellten wir eine Fallstudie, wie die Integration umgesetzt werden kann.
Wir entwickelten eine Offense-Regel, um Ereignisse zu generieren, wenn eine neue Offense erstellt wird, und eine Ereignisregel, um beim Generieren dieser Ereignisse ein Python-Skript auszuführen. Dabei haben wir die Zuordnung der Offense-ID aus diesen Ereignissen sichergestellt. Abschließend nutzten wir die REST-API der Anbieter und berücksichtigten zahlreiche anspruchsvolle Aspekte bei der Skript- und Prozessentwicklung.
Die Integration wurde einzeln über die GUI, die Konsole und das Auslösen der Regel getestet. Der Kunde war zufrieden mit der bereitgestellten Lösung und der korrekten Funktionalität des Skripts, das tatsächlich einen schnelleren Reaktionsprozess bei Vorfällen ermöglichte. Dies gab den Analysten die Möglichkeit, sich auf die eigentliche Arbeit zu konzentrieren.
Die Integration wurde einzeln über die GUI, die Konsole und das Auslösen der Regel getestet. Der Kunde war zufrieden mit der bereitgestellten Lösung und der korrekten Funktionalität des Skripts, das tatsächlich einen schnelleren Reaktionsprozess bei Vorfällen ermöglichte. Dies gab den Analysten die Möglichkeit, sich auf die eigentliche Arbeit zu konzentrieren.