Una domanda che si riceve spesso dai team di sicurezza è: “Come funziona SpyCloud con il mio stack di strumenti esistente?” La buona notizia è che SpyCloud non è una soluzione “rip-and-replace” per le organizzazioni in cui devi decidere cosa eliminare per raccogliere i frutti delle soluzioni di Cybercrime Analytics. SpyCloud si concentra invece sulla sovrapposizione delle soluzioni e dei flussi di lavoro già in atto per approfondire la visibilità delle minacce e quindi semplificare la correzione rapida delle esposizioni note.
Prendiamo ad esempio l’ integrazione con Microsoft Sentinel…
Perché integrare SpyCloud con Microsoft Sentinel?
SpyCloud Enterprise Protection per Microsoft Sentinel aiuta i team di sicurezza a classificare e rimediare agli incidenti di esposizione legati all’identità, bloccando le minacce per impedire il furto mirato di account e attacchi informatici. SpyCloud pubblica le credenziali dei dipendenti esposte da miliardi di record di violazioni e malware recuperati dal deep e dark web, diminuendo la finestra di esposizione e consentendo un’azione rapida contro le identità compromesse.
Con SpyCloud Enterprise Protection per Microsoft Sentinel, i dati su violazioni e malware di SpyCloud vengono inseriti in Sentinel per creare incidenti e automatizzare la riparazione. I team di sicurezza possono trarre vantaggio dai playbook integrati di risposta agli incidenti o creare i propri passaggi automatizzati per rispondere alle credenziali violate e alle esposizioni a malware, chiamando direttamente l’API di SpyCloud per raccogliere dati arricchiti per incidenti specifici.
Cos’è Microsoft Sentinel?
Microsoft Azure Sentinel è una soluzione SIEM (Security Information and Event Management) nativa del cloud e risposta automatica per l’orchestrazione della sicurezza (SOAR) fornita da Microsoft. Viene comunemente utilizzato dai team di sicurezza aziendali per rilevare, indagare e rispondere a minacce e incidenti alla sicurezza.
Come funziona l’integrazione di SpyCloud Microsoft Sentinel?
L’integrazione chiama quotidianamente l’API di SpyCloud per cercare nuove violazioni di SpyCloud o record di malware per quindi creare incidenti all’interno di Microsoft Sentinel. I team possono quindi eseguire playbook per automatizzare le risposte, inserendo informazioni aggiuntive per facilitare la valutazione, l’assegnazione e la correzione. SpyCloud allega record malware contestuali e altamente utilizzabili dal nostro set di dati recuperati per aiutare a correggere l’intera portata delle infezioni malware tra utenti, dispositivi e applicazioni.
L’integrazione include l’accesso all’API di SpyCloud per verificare le entità SpyCloud (e-mail, ID di registro, nomi host e IP), aggiungere ricerche nei playbook per una correlazione più profonda all’interno di Microsoft Sentinel o per creare tattiche di automazione personalizzate. Identificando le risorse esposte a disposizione dei criminali, le aziende possono proteggere le credenziali dei dipendenti esposte prima che i criminali abbiano la possibilità di utilizzarle per successivi attacchi informatici.
Come utilizzare l’integrazione SpyCloud Microsoft Sentinel
Puoi eseguire Malware Playbook di SpyCloud per attivare le seguenti azioni quando viene creato un incidente malware:
- Decidi la risposta appropriata se l’infezione è correlata a un dispositivo gestito o all’accesso alle applicazioni su un dispositivo personale non gestito.
- Inserisci ulteriori record di malware per un incidente specifico per comprendere meglio la portata dell’esposizione.
In alternativa, puoi eseguire il Breach Playbook di SpyCloud per agire in caso di violazione:
- Controlla se il dipendente è ancora attivo o se la lunghezza della password violata soddisfa i tuoi requisiti; in caso contrario, chiudere l’incidente.
- Verifica con il tuo strumento IAM se la password esposta è in uso su applicazioni chiave.
- Automatizza un trigger di reimpostazione della password se la password è in uso.
I clienti possono utilizzare i playbook forniti come punto di partenza, con accesso alle query dell’API di SpyCloud per ottenere contesto aggiuntivo per una maggiore automazione. Cerca nell’intero database SpyCloud per dominio, e-mail, IP, nome utente o password per estrarre interi record utente di dati darknet riconquistati. Oppure cerca applicazioni o sottodomini specifici per identificare eventuali credenziali esposte per arricchire la tua riparazione post-infezione.
Requisiti tecnici per l’integrazione di SpyCloud Microsoft Sentinel
SpyCloud Enterprise Protection per Microsoft Sentinel richiede un piano Microsoft Power Apps o Power Automate con funzionalità di connettore personalizzato, insieme a un abbonamento Azure attivo. L’analisi dei dati relativi a violazioni o malware di SpyCloud richiede una licenza per SpyCloud Employee ATO Prevention ed è necessaria una licenza aggiuntiva di SpyCloud Compass per importare record di malware per applicazioni esterne alla watchlist aziendale primaria.
Ottieni maggiori dettagli sull’integrazione SpyCloud – Microsoft Sentinel.
Altre integrazioni Microsoft: Active Directory
Un criminale informatico che riesce ad accedere alle credenziali di Active Directory dei tuoi utenti tramite una violazione di terze parti o un’infezione da malware può facilmente accedere alla tua rete, accedendo a servizi essenziali per l’azienda come condivisioni di file remote, servizi di posta elettronica di Microsoft Exchange, strumenti di collaborazione di SharePoint e altro ancora. . SpyCloud offre Active Directory Guardian come integrazione perfetta nel tuo ambiente Active Directory per monitorare continuamente e intervenire sulle credenziali compromesse, salvaguardando le identità dei dipendenti e proteggendo l’accesso ai dati aziendali e agli IP critici.
SpyCloud oltre ai flussi di lavoro di risposta e riparazione esistenti
Non sei un utente Microsoft Sentinel o Active Directory? Trova altre integrazioni SpyCloud compatibili per aumentare la risposta agli incidenti o i flussi di lavoro di riparazione automatizzati.
