Analyze Crowdstrike Detections search for IOCs in VirusTotal create a ticket in Jira and post a message in Slack
该工作流旨在自动化安全事件响应,通过定时获取CrowdStrike的威胁检测数据,逐条分析并查询VirusTotal增强情报。自动创建Jira工单以规范安全事件管理,并通过Slack及时通知安全团队,确保高效响应与处理。整体流程优化了检测数据分析,减少了手动操作,提高了威胁识别和处置的速度与准确性,适用于安全运营中心和企业环境的自动化需求。
Tags
工作流名称
Analyze_Crowdstrike_Detections__search_for_IOCs_in_VirusTotal__create_a_ticket_in_Jira_and_post_a_message_in_Slack
主要功能和亮点
该工作流实现了安全运营自动化,能够定时获取CrowdStrike的最新威胁检测数据,针对每条检测事件逐一拆解行为细节,调用VirusTotal接口进行IOC(Indicators of Compromise,攻击指标)情报丰富和验证,再将详细分析结果自动生成Jira工单进行事件追踪,同时将重要告警通过Slack通知安全团队,确保快速响应。工作流设计合理,支持分批处理与速率控制,避免接口调用超限。
解决的核心问题
- 自动化整合多源威胁信息,避免安全团队手动查找和分析检测数据的繁琐。
- 实时丰富检测数据,快速识别潜在恶意文件和行为。
- 自动创建事件工单,规范化安全事件管理流程。
- 及时通知相关人员,提高事件响应效率,缩短处置时间。
应用场景
- 安全运营中心(SOC)自动化威胁响应。
- 企业环境中对CrowdStrike检测告警的自动化处理。
- 结合VirusTotal进行威胁情报增强和验证。
- 通过Jira实现安全事件的统一管理和跟踪。
- 利用Slack即时通知安全团队关键告警。
主要流程步骤
- 定时触发:每天定时启动工作流,自动执行。
- 获取检测事件:调用CrowdStrike API,获取“new”状态的最新检测列表。
- 拆分检测项:将检测事件拆分成单条,逐条处理。
- 获取检测详情:(配置中已禁用)细化检测信息获取。
- 拆分行为细节:将检测中的行为数组拆分,逐个分析。
- 访问VirusTotal查询:先后查询文件SHA256和行为中IOC值,获取威胁情报。
- 合并行为描述:对行为相关描述进行拼接汇总,生成详细事件描述。
- 创建Jira工单:根据检测及情报数据,自动生成包含详细信息的Jira任务。
- Slack通知:将告警摘要和Jira链接发送到指定Slack用户,提醒安全团队关注。
涉及的系统或服务
- CrowdStrike:提供最新的安全检测数据。
- VirusTotal:用于查询文件和IOC的威胁情报,丰富检测信息。
- Jira:用于创建和管理安全事件工单。
- Slack:发送即时告警通知,促进团队沟通。
适用人群或使用价值
- 安全运营团队(SOC):自动化整合和处理检测告警,提升工作效率。
- 安全分析师:快速获得丰富的威胁情报支持,辅助事件研判。
- IT运维与管理者:通过Jira工单实现规范化安全事件追踪和管理。
- 企业安全负责人:保证安全事件及时通报和响应,降低风险。
- 任何需要集成CrowdStrike与VirusTotal、Jira、Slack的安全自动化场景。
此工作流帮助安全团队实现从检测到响应的全流程自动化,减少手动操作,提高威胁发现与处置的速度与准确性,是现代安全运营中不可或缺的利器。
Upload a file and get a list of all the files in a bucket
该工作流实现了从网络请求自动下载文件,上传至指定的Amazon S3存储桶,并获取该存储桶内所有文件列表。通过简化文件上传和管理操作,用户可以高效地处理文件,减少人工干预和出错率,适用于云存储管理、定期文件同步及实时监控存储内容等场景,提升企业工作效率。
Google Calendar to Slack Status & Philips Hue
该工作流通过自动同步Google日历的会议状态到Slack用户状态,并智能控制Philips Hue灯光系统,实时反映团队成员的忙碌状态。利用日历事件的颜色分类,灵活调整Slack状态和灯光模式,提升办公沟通效率。适用于远程和混合办公场景,有助于优化资源使用和减少干扰,同时加强个人时间管理,创造更智能化的工作环境。
Weather via Slack
该工作流通过Slack提供即时天气查询服务,用户只需发送包含地点名称的请求,系统便会自动获取该地点的经纬度并调用气象局API获取详细天气信息。最终,格式化的天气预报将被推送到指定的Slack频道。这种自动化流程极大提升了团队获取天气信息的效率,适用于企业内部沟通、客服支持及个人日常活动安排,节省了切换应用的时间。
Creating an Onfleet Task for a new Shopify Fulfillment
该工作流旨在实现Shopify订单发货时,自动在Onfleet系统中创建配送任务,简化了从订单处理到配送任务生成的流程。通过无缝连接两个平台,显著提升物流配送效率,减少人工操作带来的延迟和错误,确保配送及时准确,非常适合电商运营团队和物流调度人员使用。
IT Ops AI SlackBot 工作流
此工作流结合了人工智能与即时通讯工具,实现智能化的IT问询自动响应。它能够实时接收员工在Slack上提出的IT相关问题,自动检索Confluence知识库,生成精准的回答,并及时回复用户,从而显著提高IT支持效率,减少人工干预,提升员工的查询体验。通过上下文记忆和多用户会话管理,该系统有效解决了信息查询分散及重复劳动的问题,助力企业打造高效的数字化办公环境。
Restore your workflows from GitHub
该工作流旨在帮助用户自动从GitHub仓库中批量恢复工作流备份,实现一键还原,确保数据安全与操作便捷。通过配置GitHub信息,用户可以快速同步并恢复多个工作流,有效解决因误操作或数据丢失导致的恢复难题,减少手动导入的繁琐,提高工作流的持续稳定运行,适合需要频繁备份和恢复的团队及技术人员。
Create an Onfleet task when a file in Google Drive is updated
该工作流能自动监控Google Drive中的指定文件,一旦文件更新便立即在Onfleet上创建新任务,确保信息及时传递和任务迅速落实。通过每分钟轮询和精准触发,显著提高工作效率,减少人工干预,适合物流、项目管理和客户服务等领域,帮助企业实现流程自动化,优化工作响应速度和客户体验。
ServiceNow 工单搜索与通知 Slack 集成工作流
该工作流实现了 Slack 与 ServiceNow 的深度集成,使用户能够直接在 Slack 内查询工单信息。通过弹窗输入优先级和状态条件,用户可快速获取符合条件的工单,查询结果以美观的格式发送,支持最多展示5条工单详情。工作流还提供无匹配结果的友好提醒,确保用户随时了解查询状态,提升了信息获取的效率与协作体验。