Integrazione tra SpyCloud e Cortex XSOAR

Le piattaforme di Orchestration, Automation, and Response (SOAR) sono strumenti preziosi per i team di sicurezza, fornendo una piattaforma centralizzata per la creazione ed esecuzione di flussi di lavoro di risposta agli incidenti. Da parte nostra, in SpyCloud, ci concentriamo sull’integrazione con le soluzioni e i flussi di lavoro SOAR che hai già implementato per approfondire la tua visibilità sulle minacce e rendere più semplice risolvere rapidamente le vulnerabilità conosciute che potrebbero portare a attacchi successivi.

Questo ci porta all’argomento di questo articolo: la nostra più recente integrazione con Palo Alto Cortex XSOAR.

Perché integrare SpyCloud con Cortex XSOAR?

SpyCloud espone credenziali di dipendenti esposte da miliardi di record di violazioni e malware recuperati dal sottobosco criminale profondo e oscuro, in modo che i team di sicurezza aziendale possano ridurre la finestra di esposizione e rimediare alle identità compromesse. Per i team che già utilizzano Cortex XSOAR, SpyCloud Enterprise Protection for Cortex XSOAR colma le lacune tra gli incidenti di esposizione legati all’identità e i flussi di lavoro di risposta e rimedio corrispondenti.

Puoi arricchire la tua risposta agli incidenti utilizzando il bot alimentato dall’apprendimento automatico di Cortex XSOAR, DBOT, per creare chiamate all‘API di SpyCloud e sfruttare l’ampio database di dati recuperati dal darknet di SpyCloud per scoprire rapidamente connessioni nascoste, identificare potenziali minacce e ottenere una comprensione più approfondita degli eventi correlati a ciascun incidente.

Con il potere combinato di entrambi gli strumenti, il tuo team può avere maggiore fiducia nei propri sforzi di prevenzione per il takeover di account mirati e gli attacchi informatici.

Cos’è Cortex XSOAR?

Cortex XSOAR® è la piattaforma estesa di Palo Alto Networks SOAR che automatizza i flussi di lavoro di sicurezza, ottimizza la risposta agli incidenti e migliora complessivamente la postura di sicurezza. Si tratta di una piattaforma altamente scalabile e personalizzabile che può essere implementata on-premises, in cloud o come soluzione ibrida. I team di sicurezza aziendale la utilizzano comunemente per rilevare, investigare e rispondere alle minacce e agli incidenti di sicurezza.

Come funziona l’integrazione SpyCloud Cortex XSOAR

Con l’integrazione di SpyCloud per Cortex XSOAR, i dati sulle violazioni e sul malware di SpyCloud vengono inglobati in XSOAR per creare incidenti e fornire la capacità di automatizzare i rimedi. I team di sicurezza possono utilizzare playbooks di risposta agli incidenti forniti o creare i propri playbooks automatizzati per rispondere a credenziali compromesse e esposizioni di malware.

L’integrazione chiama l’API di SpyCloud per recuperare nuovi record di violazioni e malware di SpyCloud, e quindi genera incidenti corrispondenti all’interno di Cortex XSOAR. I playbooks vengono eseguiti automaticamente quando vengono creati incidenti, richiamando dati arricchiti aggiuntivi per consentire ai team di sicurezza di valutare, assegnare e rimediare a incidenti specifici. Per integrare la risposta alle esposizioni di violazioni, l’integrazione di SpyCloud ingloba contestualmente record di malware altamente azionabili dal nostro dataset recuperato per aiutare a rimediare alle infezioni da malware tra utenti, dispositivi e applicazioni.

Come usare l’integrazione SpyCloud Cortex XSOAR

Per utilizzare l’integrazione SpyCloud Cortex XSOAR, sono disponibili due playbooks per i team:

1. Malware Incident Playbook: Questo playbook consente azioni di follow-up una volta creato un incidente di malware per aiutarti a rimediare alle esposizioni di malware e rimuovere tutti i punti ciechi tra utenti, applicazioni e dispositivi. I clienti con una licenza per il prodotto di prevenzione ransomware di SpyCloud, Compass, possono visualizzare tutti i record di malware di SpyCloud all’interno di XSOAR per le credenziali delle applicazioni esposte al di fuori della loro watchlist principale per rimediare completamente a tutte le minacce causate da infezioni da malware. Scopri di più sul framework di rimedio post-infezione di SpyCloud per ottimizzare i protocolli di risposta agli incidenti di malware, progettati per bloccare gli attacchi successivi da credenziali di applicazioni rubate e cookie di sessione sottratti da malware infostealer.

2. Inoltre, il Breach Playbook di SpyCloud agisce automaticamente sugli incidenti di violazione. In caso di violazione in cui le password in chiaro sono state esposte, SpyCloud crea e contrassegna l’evento come un incidente ad alta priorità in XSOAR e offre passaggi automatici aggiuntivi. Esempi includono: verificare la lunghezza della stringa e della password per confermare che si tratti di una minaccia; confermare che si tratti di un utente attivo e verificare le loro password attuali per un match e quindi reimpostare la password e eventuali passaggi aggiuntivi.

Ecco cosa puoi aspettarti utilizzando l’integrazione di SpyCloud con Cortex XSOAR:

  • Intelligence sulle minacce di prossima generazione: i team SOC ottengono una visione olistica dei potenziali rischi per i propri dipendenti e possono prioritizzare efficacemente gli sforzi di rimedio.
  • Flussi di lavoro ottimizzati: le informazioni di SpyCloud all’interno dei playbooks automatizzati di XSOAR semplificano il processo di rimedio riducendo l’intervento manuale e migliorando l’efficienza.
  • Rimedio avanzato: i team possono utilizzare l’interfaccia DBOT di XSOAR per creare facilmente chiamate API personalizzate per recuperare informazioni dal database di SpyCloud per rimedi più avanzati.

I requisiti tecnici per l’integrazione di SpyCloud con Cortex XSOAR includono:

Ottieni una demo

Articolo originale

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI