Analyze Crowdstrike Detections search for IOCs in VirusTotal create a ticket in Jira and post a message in Slack
该工作流旨在自动化安全事件响应,通过定时获取CrowdStrike的威胁检测数据,逐条分析并查询VirusTotal增强情报。自动创建Jira工单以规范安全事件管理,并通过Slack及时通知安全团队,确保高效响应与处理。整体流程优化了检测数据分析,减少了手动操作,提高了威胁识别和处置的速度与准确性,适用于安全运营中心和企业环境的自动化需求。
流程图
工作流名称
Analyze_Crowdstrike_Detections__search_for_IOCs_in_VirusTotal__create_a_ticket_in_Jira_and_post_a_message_in_Slack
主要功能和亮点
该工作流实现了安全运营自动化,能够定时获取CrowdStrike的最新威胁检测数据,针对每条检测事件逐一拆解行为细节,调用VirusTotal接口进行IOC(Indicators of Compromise,攻击指标)情报丰富和验证,再将详细分析结果自动生成Jira工单进行事件追踪,同时将重要告警通过Slack通知安全团队,确保快速响应。工作流设计合理,支持分批处理与速率控制,避免接口调用超限。
解决的核心问题
- 自动化整合多源威胁信息,避免安全团队手动查找和分析检测数据的繁琐。
- 实时丰富检测数据,快速识别潜在恶意文件和行为。
- 自动创建事件工单,规范化安全事件管理流程。
- 及时通知相关人员,提高事件响应效率,缩短处置时间。
应用场景
- 安全运营中心(SOC)自动化威胁响应。
- 企业环境中对CrowdStrike检测告警的自动化处理。
- 结合VirusTotal进行威胁情报增强和验证。
- 通过Jira实现安全事件的统一管理和跟踪。
- 利用Slack即时通知安全团队关键告警。
主要流程步骤
- 定时触发:每天定时启动工作流,自动执行。
- 获取检测事件:调用CrowdStrike API,获取“new”状态的最新检测列表。
- 拆分检测项:将检测事件拆分成单条,逐条处理。
- 获取检测详情:(配置中已禁用)细化检测信息获取。
- 拆分行为细节:将检测中的行为数组拆分,逐个分析。
- 访问VirusTotal查询:先后查询文件SHA256和行为中IOC值,获取威胁情报。
- 合并行为描述:对行为相关描述进行拼接汇总,生成详细事件描述。
- 创建Jira工单:根据检测及情报数据,自动生成包含详细信息的Jira任务。
- Slack通知:将告警摘要和Jira链接发送到指定Slack用户,提醒安全团队关注。
涉及的系统或服务
- CrowdStrike:提供最新的安全检测数据。
- VirusTotal:用于查询文件和IOC的威胁情报,丰富检测信息。
- Jira:用于创建和管理安全事件工单。
- Slack:发送即时告警通知,促进团队沟通。
适用人群或使用价值
- 安全运营团队(SOC):自动化整合和处理检测告警,提升工作效率。
- 安全分析师:快速获得丰富的威胁情报支持,辅助事件研判。
- IT运维与管理者:通过Jira工单实现规范化安全事件追踪和管理。
- 企业安全负责人:保证安全事件及时通报和响应,降低风险。
- 任何需要集成CrowdStrike与VirusTotal、Jira、Slack的安全自动化场景。
此工作流帮助安全团队实现从检测到响应的全流程自动化,减少手动操作,提高威胁发现与处置的速度与准确性,是现代安全运营中不可或缺的利器。