SECDO Integrations v 1.1

SECDO Integrations v 1.1

0
Created On 09/25/18 18:17 PM - Last Modified 07/19/22 23:09 PM


Resolution


Presentamos SECDO 

SECDO es la primera y única solución preventiva de respuesta a incidentes. Desde una sola plataforma, empodera a los equipos de seguridad e ir para reducir el tiempo de respuesta de incidentes a minutos, obtener una visibilidad completa del punto final y mejorar las defensas cibernéticas para evitar futuros ataques.

SECDO proporciona visibilidad de host a nivel de subproceso sin igual al registrar y almacenar continuamente todos los datos forenses del host y analizarlos automáticamente con el motor de análisis de causalidad SECDO ™ para crear cadenas de causalidad. Las alertas de cualquier fuente se ingieren de forma manual o automática en SECDO, se correlacionan con las cadenas de causalidad ya establecidas y se ponen inmediatamente en contexto, resultando en una línea de tiempo forense de todas las entidades involucradas en el ataque, una cadena de ataque visual volver a la causa raíz, evaluación de daños precisos, entidades involucradas, terminales y servidores infectados ("hosts"), comportamientos y más. Los analistas pueden validar instantáneamente las alertas porque tienen respuestas concluyentes a todas las preguntas e inmediatamente entienden el "quién, qué, dónde, Cuándo y cómo" detrás de cada alerta.

Con un análisis completo de cómo se comprometieron los anfitriones, SECDO permite la contención y remediación de las amenazas en minutos. A través de un poderoso conjunto de herramientas de respuesta granular en tiempo real – incluyendo procesos de congelación y aislamiento de hosts – los analistas pueden ejecutar comandos y código interactivamente en cualquier host y realizar la memoria forense de forma remota. SECDO permite la respuesta rápida y quirúrgica y la remediación en cualquier punto final sin afectar la productividad del negocio.

Armados con una comprensión concluyente del ataque, incluyendo la cronología de la brecha, la causa de origen y la evaluación de daños, los equipos de seguridad obtienen una comprensión completa de las brechas en sus defensas y cómo cerrarlos para evitar futuros ataques.

Integraciones de

Hoy, las amenazas cibernéticas vienen desde todos los ángulos y nos atacan en muchos puntos diferentes. Para proteger nuestra propiedad intelectual, datos personales y otros objetos de valor digitales, desplegamos numerosos sistemas de seguridad cibernética para vigilar nuestras redes, terminales, servidores y otros objetivos. Con el fin de proporcionar un ecosistema integral de seguridad cibernética, los sistemas dispares a menudo necesitan ser integrados.

SECDO fue diseñado para permitir una fácil integración con infinidad de sistemas de seguridad cibernética como AVS, firewalls y Siems. Los usuarios de SECDO pueden implementar fácilmente comunicaciones UNI o bi-direccionales que comparten datos de seguridad críticos, como alertas, para mejorar las defensas cibernéticas en general.

Además, SECDO proporciona capacidades de integración que le permiten a los equipos informáticos y de seguridad cibernética consultar la base de datos SECDO desde sistemas externos.

Este documento describe dos de las interfaces que están disponibles:

  1. Uso de la interfaz de programa de aplicaciones (API) para realizar una investigación SECDO sobre alertas generadas a partir de una aplicación externa
  2. Consultando SECDO vía URL

Interfaz del programa de aplicación (API)

Los clientes de SECDO a menudo desean utilizar la capacidad única de SECDO para correlacionar las alertas generadas de los sistemas de terceros con sus datos de Endpoint almacenados para dar a los analistas de seguridad la imagen forense completa que lleva a un análisis, validación y respuesta apropiados a Cyber Incidentes. en

esta sección se describe cómo investigar las alertas dentro de SECDO desde sistemas externos que utilizan la API REST de SECDO. \ a

través de la API, puede enviar alertas de productos de seguridad (AVS, IPS, etc.) a SECDO para investigarlos automáticamente mediante los datos recopilados por SECDO de extremos y servidores.

Un ejemplo usando las redes de palo alto

El servicio de Gateway Palo Alto Networks genera una alerta en un extremo de la LAN que intenta conectarse a un servicio de proxy en línea. Palo alto ha bloqueado la conexión.

1.el png

La alerta se puede publicar en SECDO usando la API pública.

{
' empresa ': ' secdo ',
' apiKey ': ' b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 ',
' timestamp ': ' 1490209247000 ',
' Vendor ': ' Palo Alto Networks ',
' Product ': ' pan-os ',
' source_port ': ' 59661 ',
' destination_ip ': ' 66.186.100.181 ',
' source_ip ': ' 192.168.204.133 ',
' destination_port ': ' 9000 ',
' type ': ' OutgoingConnectionEvent ',
' Severe ': ' Low ',
' event_id ': ' 871151 ',
}  

SECDO coincidirá y correlacionará los datos de la alerta panorámica con los datos que el agente SECDO ha recopilado del extremo que inició la conexión con el servicio Proxy. al

navegar a la pantalla de alertas de SECDO, el analista puede ver alertas. Las alertas de red de palo alto están claramente marcadas en la columna proveedor.

2 png

Haciendo clic derecho sobre cualquier alerta que entró en SECDO desde Palo Alto Networks permite al analista ver la cadena de causalidad completa que llevó a la alerta.

3 png

En el lado derecho del gráfico, el analista puede ver la alerta que fue reportada por la red de palo alto, y la cadena de causalidad completa que conduce al intento de conexión tal como lo recogió el agente SECDO desde el punto final. Con estos datos y un formato gráfico sencillo, el analista puede entender rápidamente el ataque y realizar una respuesta precisa.

Tipos de investigaciones

La API actualmente soporta dos tipos de investigación dentro del sistema SECDO:

  • Eventos de red
  • Eventos de archivo/proceso

API para investigaciones de eventos en red

La API para eventos de red permite una investigación automatizada dentro de SECDO basada en un evento de red. Los sistemas que comúnmente generan este tipo de eventos son FW, IPS, Web Gateway, etc.

post to SECDO like this: https://secdo-Server/publicapi/V2/enrich_with_secdo/

los datos enviados a SECDO contienen los siguientes atributos:

AtributoDescripción
compañíaNombre de su empresa u organización según el nombre de la empresa secdo UI (obligatorio)
apikeyClave obtenida del soporte de SECDO (obligatorio) Nota: Abra un ticket en el centro de soporte de SECDO (secdo.desk.com) para obtener esta clave
marca de tiempoTimestamp de la alerta. Hora horaria UTC (época) en milisegundos (obligatorio)
proveedorProveedor del producto que generó el producto de alerta (obligatorio) que generó la alerta (p.ej., Palo Alto Networks) (obligatorio)
source_portPuerto de la fuente de la comunicación
destination_ipIP de destino de la comunicación (obligatoria)
source_ipIP de origen de la comunicación (obligatoria)
destination_portPuerto de destino de la comunicación (obligatorio)
tipo de

obligatorio Los valores pueden ser:

  • OutgoingConnectionEvent para conexiones salientes desde la LAN a Internet (debe ser el valor por defecto en caso de que no se pueda determinar la direccionalidad)
  • IncomingConnectionEvent para las conexiones entrantes del Internet a la LAN/DMZ
severidad

Valor puede ser

  • Baja
  • MEDIO
  • ALTA
event_idID de evento de la alerta/TD >

 

Ejemplo

{
' empresa ': ' secdo ',
' apiKey ': ' b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 ',
' timestamp ': ' 1493209485000 ',
' Vendor ': ' Control Point ',
' producto ': ' Firewall-1 GX ',
' source_port ': ' 59661 ',
' destination_ip ': ' 137.254.120.31 ',
' source_ip ': ' 192.168.52.131 ',
' destination_port ': ' 80 ',
' type ': ' OutgoingConnectionEvent ',
' Severe ': ' High ',
' event_id ': ' 1674573196751 ',
}

 

API para investigaciones de eventos de archivos y procesos

La API para eventos de archivos y procesos permite una investigación automatizada dentro de SECDO basada en una ruta de archivo o MD5 en un equipo específico. Los sistemas que comúnmente generan este tipo de eventos son AV, EPP, NGAV, HIPS, etc.

post to SECDO like this: https://secdo-Server/publicapi/V2/enrich_with_secdo/

los datos enviados a SECDO contienen los siguientes atributos:

AtributoDescripción
compañíaNombre de su empresa u organización según el nombre de la empresa secdo UI (obligatorio)
apikeyClave obtenida del soporte de SECDO (obligatorio) Nota: Abra un ticket en el centro de soporte de SECDO (secdo.desk.com) para obtener esta clave
marca de tiempoTimestamp de la alerta. Hora horaria UTC (época) en milisegundos (obligatorio)
proveedorProveedor del producto que generó el producto de alerta (obligatorio) que generó la alerta (p.ej., Palo Alto Networks) (obligatorio)
productoProducto que generó la alerta (p.ej., Palo Alto Networks) (obligatorio)
agent_ipHost en el que se notificaron los archivos (obligatorio)
file_pathRuta de archivo completa (obligatorio)
tipo deDebe ser SuspiciousFileEvent (obligatorio)
severidad

Valor puede ser

  • Baja
  • MEDIO
  • ALTA
event_idID de evento de la alerta/TD >

 

Ejemplo

{
' empresa ': ' secdo ',
' apiKey ': ' b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 ',
' timestamp ': ' 1493209485000 ',
' Vendor ': ' McAfee ',
' producto ': ' ePO ',
' agent_ip ': ' 192.168.52.131 ',
' file_path ': ' c:\\temp\\55\\pageant.exe ',
' type ': ' SuspiciousFileEvent ',
' Severe ': ' High ',
' event_id ': ' 1674573196751 ',
}

 

Script completo de Python

Puede utilizar un script Python para interactuar con la API.

Ejemplo:

importar hashlib

importar JSON

importar DateTime

importar Sys, so, tiempo

Import urllib2 de PPRINT Import PPRINT

 

# Parseo de los datos entrantes desde el línea

# Sólo llama a la secuencia de comandos. py con los parámetros

alertType = Str (sys. argv [1])

alertTime = Str (sys. argv [2]) # debe ser época, si no época, proceso adicional necesario

alertVendor = Str (sys. argv [3])

alertProduct = Str (sys. argv [4])

alertEventId = Str (sys. argv [5])

alertSeverity = Str (sys. argv [6])

secdoKey = Str (sys. argv [7])

secdoCompany = Str (sys. argv [8])

 

if "SuspiciousFileEvent" en alertType:
 

# controla las alertas relacionadas con archivos

alertAgentIP = Str (sys. argv [9])

alertFilePath = Str (sys. argv [10])

Data = {

' empresa ': secdoCompany,

' apiKey ': secdoKey,

' agent_ip ': alertAgentIP,

' timestamp ': alertTime,

' event_id ': alertEventId,

' Vendor ': alertVendor,

' producto ': alertProduct,

' file_path ': alertFilePath,

' type ': alertType,

' Severity ': alertSeverity

}

otra cosa:

# controla las alertas relacionadas con la red

alertSourceAddress = Str (sys. argv [9])

alertSourcePort = Str (sys. argv [10])

alertDestinationAddress = Str (sys. argv [11])

alertDestinationPort = Str (sys. argv [12])

Data = {

' empresa ': secdoCompany,

' apiKey ': secdoKey,

' timestamp ': alertTime,

' Vendor ': alertVendor,

' producto ': alertProduct,

' source_port ': alertSourcePort,

' destination_ip ': alertDestinationAddress,

' source_ip ': alertSourceAddress,

' destination_port ': alertDestinationPort,

' type ': alertType,

' Severity ': alertSeverity,

' event_id ': alertEventId

}

imprimir datos # imprime el resultado JSON del análisis de datos

start_time = DateTime. DateTime. Now ()

REQ =

urllib2. Petición ('https://cloud1.us.secdo.net/publicapi/V2/enrich_with_secdo/')

REQ. Add _header ("Content-Type", "Application/JSON")

 

Response = urllib2. urlopen (req, JSON. dumps (datos))

 

Print Response. Code # debe devolver ' 200 '

res = JSON. loads (Response. Read ())

end_time = DateTime. DateTime. Now ()

PPRINT (res) # debe devolver ' true '

 

###########################################################

# Ejemplos de llamar a. py usando la línea de comandos de Windows # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # #

 

# C:\Users\or\Desktop\secdo_api.py OutgoingConnectionEvent 1497457869000 "Check Point" "Firewall-1 GX" 11111212 baja b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 secdo 10.212.134.102 2375 54.230.46.82 443

 

###########################################################

# C:\Users\or\Desktop\secdo_api.py SuspiciousFileEvent 1497457869000 "McAfee" "ePO" 1121 High b9cbe23a2c0acaa61c40abef3c792a83f302adb15649fe19bf73402e253dfd16 secdo 10.212.134.102 "c:\users\or\appdata\local\slack\app-2.6.3\slack.exe"

####################################################

 

Consultando SECDO vía URL

Puede aprovechar las asombrosas capacidades de investigación de SECDO a través de consultas URL. Así es como.

 

Parámetros de URL

Para consultar SECDO vía URL, se crea una consulta como esta:

¿http://secdo-Server/#/investigationNG/builder? Entity={entidad}&Action= {Action1,action2} &ATR = {attr_name:attr_value,attr_name2:attr_value2}

 

EntidadAcciónAtributoValor
Procesoejecutarfile_nametexto libre
principalfile_pathtexto libre
niñoprocess_hashtexto libre
inyecciónPidtexto libre
inyector dethread_idtexto libre
 nombre de usuariotexto libre
 CMDtexto libre
 Cgntexto libre
 Firmado0 (firmado), 1 (no firmada), 2 (firma no válida)
 instanceIdtexto libre
Registroexistekey_nametexto libre
write_registrykey_valuetexto libre
rename_registrythread_idtexto libre
delete_registryinstanceIdtexto libre
Archivoexistefile_nametexto libre
create_filefile_pathtexto libre
write_filefile_hashtexto libre
read_fileold_file_pathtexto libre
delete_filethread_idtexto libre
rename_fileinstanceIdtexto libre
Redoutgoing_networkremote_iptexto libre
incoming_networkREMOTE_PORTtexto libre
failed_networkREMOTE_HOSTtexto libre
 paístexto libre
 tipo de accesoTCP/UDP
 local_iptexto libre
 local_porttexto libre
 thread_idtexto libre
 instanceIdtexto libre
Host HOST_NAMEtexto libre
 host_iptexto libre

 

Ejemplos de consultas generales

A continuación se presentan algunos ejemplos que muestran cómo consultar sobre un evento de red y un evento de proceso.

 

Query SECDO acerca de un evento de red

Construya esta URL:

¿https://secdo-Server/#/investigationNG/builder? Entity = red&Action = outgoing_network, incoming_network, failed_network&atributos = remote_ip:8.8.8.8 | 8.8.4.4

 

La consulta URL es el equivalente de esta consulta interna de SECDO:

4 png

Query SECDO acerca de un evento de proceso

Construya esta URL:

¿https://secdo-Server/#/investigationNG/builder? Entity = proceso&Action = ejecutar&atributos = file_name: PowerShell. exe, cmd: * download * | * codificado *

 

La consulta URL es el equivalente de esta consulta interna de SECDO: 

5. png

 

Ejemplo de consulta Arcsight

Algunos sistemas de terceros le permiten crear internamente la consulta de URL de SECDO. Así es como lo hace Arcsight.

  • Iniciar sesión en la consola de Java
  • Haga clic en ' herramientas ' → ' comandos locales ' → ' configurar '
    6 png
  • Haga clic en ' nuevo... '
    7 png
  • Dale un nombre al comando.
  • En el programa escriba "c:\Archivos de \Google\Chrome\Application\chrome.exe (x86)" (incluir las comillas).
  • En ' parámetros de programa ', escriba la dirección URL de SECDO junto con la consulta de URL completa (con comillas). Al final, utilice una variable para tomar el valor de la celda actual en la que el usuario hace clic:
     

    "https://100.64.64.62/#/investigationNG/builder? Entity = red&Action = outgoing_network, incoming_network, failed_network&atributos = remote_ip:$selectedCell"

    8 png de

  • Haga clic en ' Aceptar '.
  • Haga clic con el botón derecho en cualquier campo de Arcsight que contenga un IP → ' Tools ' → el nombre del comando creado.9. png
  • Una nueva pestaña en Chrome se abrirá con el generador de consultas SECDO ya rellenado con los datos pertinentes.10 png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClPFCA0&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail