AI Agents and Confluence SOPs Using Tines

Dirigida por el equipo de la plataforma de inteligencia artificial y orquestación de flujos de trabajo Tines, la biblioteca de Tines incluye más de 1000 flujos de trabajo prediseñados que comparten profesionales de la seguridad de toda la comunidad, todos ellos de forma gratuita para importar e implementar a través de la plataforma Edición comunitaria.

El flujo de trabajo que destacamos agiliza la gestión de las alertas de seguridad al identificar y ejecutar automáticamente los procedimientos operativos estándar (SOP) apropiados de Confluence. Cuando se activa una alerta, los agentes de inteligencia artificial la analizan, localizan los procedimientos operativos estándar pertinentes y toman las medidas correctivas necesarias, todo ello sin dejar de mantener informado al equipo de guardia a través de Slack.

Fue creado por Michael Tolan, investigador de seguridad L2 de Tines, y Peter Wrenn, ingeniero de soluciones sénior de Tines.

En esta guía, compartiremos una descripción general del flujo de trabajo, además de instrucciones paso a paso para ponerlo en marcha.

El problema: clasificación manual de alertas y ejecución de SOP

Para los equipos de seguridad, responder a las alertas de manera eficiente requiere identificar rápidamente el tipo de amenaza, localizar el POE apropiado y ejecutar los pasos de remediación necesarios.

Desde la perspectiva del flujo de trabajo, los equipos suelen tener que:

  • Analice manualmente las alertas de seguridad entrantes
  • Busca en Confluence los procedimientos operativos estándar relevantes
  • Documente los hallazgos y las acciones en los sistemas de gestión de casos
  • Ejecute varios pasos de remediación en diferentes herramientas de seguridad
  • Actualice nuevamente el sistema de administración de casos después del hecho
  • Notificar a las partes interesadas sobre los incidentes y las medidas adoptadas

Este proceso manual lleva mucho tiempo, es propenso a errores humanos y puede provocar un manejo incoherente de alertas similares.

La solución: clasificación de alertas basada en inteligencia artificial con ejecución automatizada de SOP

Este flujo de trabajo prediseñado automatiza todo el proceso de clasificación de alertas al aprovechar los agentes de IA y los SOP de Confluence. El flujo de trabajo ayuda a los equipos de seguridad a responder de forma más rápida y uniforme al:

  • Uso de la IA para analizar y clasificar las alertas entrantes
  • Localización automática de los SOP relevantes en Confluence
  • Creación de registros de casos estructurados para su seguimiento
  • Implementación de un segundo agente de IA (subagente) para ejecutar los pasos de corrección
  • Documentar todas las acciones y notificar al equipo de guardia a través de Slack

El resultado es una respuesta simplificada a las alertas de seguridad que garantiza un manejo uniforme de acuerdo con los procedimientos establecidos.

Principales beneficios de este flujo de trabajo

  • Reducción del tiempo medio de remediación (MTTR)
  • Aplicación coherente de los procedimientos de seguridad
  • Documentación completa de todas las acciones tomadas
  • Reducción de la fatiga de los analistas debido a las tareas repetitivas
  • Mejora de la visibilidad mediante notificaciones automatizadas

Descripción del flujo de trabajo

Herramientas utilizadas:

  • Tines: plataforma de inteligencia artificial y orquestación de flujos de trabajo (disponible la edición comunitaria gratuita)
  • Confluence: plataforma de gestión del conocimiento para SOP

Este flujo de trabajo específico también usos las siguientes piezas de software. Sin embargo, puedes usar cualquier enriquecimiento/ remediación herramientas actualmente existente dentro tu pila tecnológica junto con Tines y Confluence.

  • CrowdStrike: plataforma de inteligencia de amenazas y EDR
  • AbuseIPDB: base de datos de reputación de IP
  • EmailRep: servicio de reputación de correo electrónico
  • Okta: gestión de identidades y accesos
  • Slack: plataforma de colaboración en equipo
  • Tavily: herramienta de investigación de IA
  • Urlscan.io - Servicio de análisis de URL
  • VirusTotal: servicio de escaneo de archivos y URL

Cómo funciona

Parte 1: Ingestión y análisis de alertas

  • Reciba alertas de seguridad de herramientas de seguridad integradas
  • El agente de IA analiza la alerta para determinar el tipo y la gravedad
  • El sistema busca en Confluence los procedimientos operativos estándar relevantes según la clasificación de alertas
  • Cree un registro de caso con los detalles de la alerta y el SOP identificado

Parte 2: Remediación y documentación

  • Un segundo agente de IA revisa el caso y las instrucciones de SOP
  • El agente de IA organiza las acciones de corrección a través de las herramientas de seguridad adecuadas
  • Todas las acciones están documentadas en el historial del caso
  • La notificación de Slack se envía al equipo de guardia con los detalles de la alerta y las medidas adoptadas

Configuración del flujo de trabajo: guía paso a paso

1. Inicia sesión en Tines o crea una cuenta nueva.

2. Navega hasta el flujo de trabajo prediseñado en la biblioteca. Selecciona importar.

3. Configura tus credenciales

Necesitarás credenciales para todas las herramientas que se utilizan en este flujo de trabajo. Puede añadir o eliminar las herramientas que desee para adaptarse a su entorno.

  • Confluencia
  • CrowdStrike
  • Abuso de IPDB
  • Rep de correo electrónico
  • Okta
  • Slack
  • Tavily
  • URLScan.io
  • VirusTotal

En la página de credenciales, selecciona Nueva credencial, desplázate hacia abajo hasta la credencial correspondiente y completa los campos obligatorios. Siga las guías de credenciales que se encuentran en explained.tines.com si necesitas ayuda.

4. Configura tus acciones.

Configure las variables de entorno. En este flujo de trabajo concreto, esto requiere específicamente configurar el canal de Slack para las notificaciones (codificado con #alerts de forma predeterminada, pero se puede ajustar en la acción de Slack).

5. Personaliza las indicaciones de la IA

El flujo de trabajo incluye dos agentes de IA clave:

  • Agente de análisis de alertas: personalice el mensaje para ayudar a identificar los tipos de alertas
  • Agente de remediación: personalice el mensaje para guiar las acciones de remediación

6. Pruebe el flujo de trabajo.

Crea una alerta de prueba para verificar:

  • La alerta está clasificada correctamente
  • El SOP correcto se recupera de Confluence
  • El caso se crea con los detalles apropiados
  • Se ejecutan los pasos de corrección
  • Se envía una notificación de Slack

7. Publicar y poner en funcionamiento

Una vez probado, publique el flujo de trabajo e intégrelo con sus herramientas de seguridad para empezar a recibir alertas en tiempo real.

Si quieres probar este flujo de trabajo, puedes inscribirte en un cuenta gratuita de Tines.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.