Оглавление
Сообщает Cloudflare о запуске интеграции между своей SASE-платформой и системой автоматизации безопасности CrowdStrike Falcon Fusion SOAR. Это партнерство позволяет организациям автоматизировать реагирование на инциденты между сетевым периметром и конечными точками.
Проблема ручного реагирования
Команды безопасности хорошо знакомы с рутиной ручного расследования и устранения угроз. С массовым внедрением ИИ и растущей автоматизацией атак защитники не могут позволить себе полагаться на излишне ручные, низкоприоритетные и сложные рабочие процессы.
Чрезмерно обременительное ручное реагирование создает задержки, поскольку аналитики переключаются между консолями, а высокие объемы оповещений способствуют усталости от предупреждений. Что еще хуже, это мешает командам безопасности уделять время высокоприоритетным угрозам и стратегической инновационной работе.
Расширение возможностей с CrowdStrike Falcon Fusion SOAR
Новая интеграция предлагает две готовые схемы взаимодействия для Zero Trust и Email Security, предназначенные для организаций, уже использующих CrowdStrike Falcon Insight XDR или CrowdStrike Falcon Next-Gen SIEM.
Это позволяет SOC-командам получать мощные новые возможности для борьбы с фишингом, вредоносным ПО и подозрительным поведением быстрее и с меньшими ручными усилиями.
Готовые интеграции
Хотя команды всегда могут создавать пользовательские автоматизации, мы упростили начало работы с двумя предварительно созданными интеграциями, ориентированными на Zero Trust Access и Email Security.
Действия, которые можно выполнять в CrowdStrike из этих интеграций:
- Email Security: обновление политик разрешений, поиск сообщений, управление доверенными доменами
- Zero Trust Access: обновление политик доступа, управление группами доступа, отзыв токенов приложений
Используя эти сигналы, клиенты могут создавать автоматизированные рабочие процессы, которые работают с минимальным вмешательством человека или без него. Визуальный редактор Falcon Fusion SOAR позволяет легко связывать действия Cloudflare с другими сигналами для автоматизации больших частей рабочего процесса SOC.
Пример автоматизированного потока
- Cloudflare Email Security обнаруживает фишинговое письмо
- Falcon Fusion SOAR автоматически получает детали обнаружения, блокирует отправителя и обновляет списки разрешений/запретов
- Cloudflare Zero Trust отзывает активные токены сеанса для затронутой учетной записи
- Если Falcon подтверждает компрометацию конечной точки, устройство автоматически изолируется
Техническая реализация
На техническом уровне интеграция полагается на веб-хуки и API-интеграции между SASE-платформой Cloudflare и CrowdStrike Falcon Fusion SOAR.
Автоматизация реагирования между сетевым периметром и конечными точками — это именно то, что нужно современным SOC. Вместо того чтобы бегать между консолями, аналитики получают систему, которая сама принимает рутинные решения на скорости машины. Особенно ценно двустороннее взаимодействие — когда угроза на конечной точке автоматически блокируется в сети, и наоборот. Это не просто удобство, это фундаментальное изменение подхода к безопасности.
С точки зрения настройки, клиенты могут перейти в раздел Logpush в UI Cloudflare, где можно создать задание с CrowdStrike. Для этого необходимо создать задание с «HTTP destination» и ввести HTTP-эндпоинт, предоставленный CrowdStrike.
Как начать работу
Организации, уже использующие CrowdStrike Falcon Fusion SOAR с SASE-платформой Cloudflare, могут включить эти рабочие процессы непосредственно из Cloudflare Dashboard и консоли CrowdStrike Falcon.
Для организаций, желающих далее настроить интеграцию, обе платформы допускают расширяемость через API и пользовательские плейбуки, чтобы SOC-команды могли адаптировать действия реагирования к своей уникальной позиции риска.
Оставить комментарий