كيفية أتمتة معالجة التنبيهات باستخدام وكلاء الذكاء الاصطناعي وإجراءات التشغيل القياسية من Confluence عبر Tines
تديرها فريق منصة تنسيق سير العمل والذكاء الاصطناعي Tines، تحتوي مكتبة Tines على أكثر من 1,000 سير عمل مسبق البناء تم مشاركتها من قبل ممارسي الأمن من جميع أنحاء المجتمع – جميعها مجانية للاستيراد والنشر من خلال إصدار المجتمع الخاص بالمنصة.
يساعد سير العمل الذي نسلط عليه الضوء في تبسيط التعامل مع تنبيهات الأمان من خلال تحديد وإجراء إجراءات التشغيل القياسية المناسبة تلقائيًا من Confluence. عند تفعيل تنبيه، يقوم وكلاء الذكاء الاصطناعي بتحليله، وتحديد إجراءات التشغيل القياسية ذات الصلة، وتنفيذ خطوات الإصلاح المطلوبة – كل ذلك مع إبقاء الفريق المعني على اطلاع عبر Slack.
تم إنشاؤه بواسطة مايكل توالان، باحث أمان L2 في Tines، وبيتر وورن، مهندس حلول أول في Tines.
في هذا الدليل، سنشارك نظرة عامة على سير العمل، بالإضافة إلى تعليمات خطوة بخطوة لتشغيله.
المشكلة – معالجة التنبيهات اليدوية وتنفيذ إجراءات التشغيل القياسية
يتطلب الاستجابة للتنبيهات بكفاءة من قبل فرق الأمان تحديد نوع التهديد بسرعة، والعثور على إجراءات التشغيل القياسية المناسبة، وتنفيذ خطوات الإصلاح المطلوبة.
من منظور سير العمل، غالبًا ما يتعين على الفرق:
- تحليل تنبيهات الأمان الواردة يدويًا
- البحث في Confluence عن إجراءات التشغيل القياسية ذات الصلة
- توثيق النتائج والإجراءات في أنظمة إدارة الحالات
- تنفيذ خطوات إصلاح متعددة عبر أدوات الأمان المختلفة
- تحديث نظام إدارة الحالات مرة أخرى بعد ذلك
- إخطار المعنيين حول الحوادث والإجراءات المتخذة
تعتبر هذه العملية اليدوية مملة، ومعرضة للأخطاء البشرية، ويمكن أن تؤدي إلى معالجة غير متسقة للتنبيهات المماثلة.
الحل – معالجة التنبيهات المدعومة بالذكاء الاصطناعي مع تنفيذ إجراءات التشغيل القياسية تلقائيًا
تقوم هذه العملية المسبقة البناء بأتمتة عملية معالجة التنبيهات بالكامل من خلال الاستفادة من وكلاء الذكاء الاصطناعي وإجراءات التشغيل القياسية من Confluence. يساعد سير العمل فرق الأمان على الاستجابة بشكل أسرع وأكثر اتساقًا من خلال:
- استخدام الذكاء الاصطناعي لتحليل وتصنيف التنبيهات الواردة
- تحديد إجراءات التشغيل القياسية ذات الصلة تلقائيًا في Confluence
- إنشاء سجلات حالات منظمة للتتبع
- نشر وكيل ذكاء اصطناعي ثانٍ (وكيل فرعي) لتنفيذ خطوات الإصلاح
- توثيق جميع الإجراءات وإخطار الفريق المعني عبر Slack
النتيجة هي استجابة مبسطة لتنبيهات الأمان تضمن معالجة متسقة وفقًا للإجراءات المعمول بها.
الفوائد الرئيسية لهذا سير العمل
- تقليل متوسط الوقت المستغرق للإصلاح (MTTR)
- تطبيق متسق لإجراءات الأمان
- توثيق شامل لجميع الإجراءات المتخذة
- تقليل تعب المحللين من المهام المتكررة
- تحسين الرؤية من خلال الإشعارات التلقائية
نظرة عامة على سير العمل
الأدوات المستخدمة:
- Tines – منصة تنسيق سير العمل والذكاء الاصطناعي (إصدار مجتمع مجاني متاح)
- Confluence – منصة إدارة المعرفة لإجراءات التشغيل القياسية
تستخدم هذه العملية المحددة أيضًا الأدوات البرمجية التالية. ومع ذلك، يمكنك استخدام أي أدوات تحسين/إصلاح موجودة بالفعل في مجموعة التكنولوجيا الخاصة بك جنبًا إلى جنب مع Tines وConfluence.
- CrowdStrike – منصة استخبارات التهديدات وEDR
- AbuseIPDB – قاعدة بيانات سمعة IP
- EmailRep – خدمة سمعة البريد الإلكتروني
- Okta – إدارة الهوية والوصول
- Slack – منصة تعاون الفريق
- Tavily – أداة بحث ذكاء اصطناعي
- URLScan.io – خدمة تحليل URL
- VirusTotal – خدمة فحص الملفات وURLs
كيف يعمل
الجزء 1: استيعاب وتحليل التنبيهات
- استقبال تنبيه أمني من أدوات الأمان المتكاملة
- يقوم وكيل الذكاء الاصطناعي بتحليل التنبيه لتحديد النوع والشدة
- يبحث النظام في Confluence عن إجراءات التشغيل القياسية ذات الصلة بناءً على تصنيف التنبيه
- إنشاء سجل حالة مع تفاصيل التنبيه وإجراءات التشغيل القياسية المحددة
الجزء 2: الإصلاح والتوثيق
- يقوم وكيل الذكاء الاصطناعي الثاني بمراجعة الحالة وتعليمات إجراءات التشغيل القياسية
- يستعرض وكيل الذكاء الاصطناعي إجراءات الإصلاح عبر أدوات الأمان المناسبة
- يتم توثيق جميع الإجراءات في تاريخ الحالة
- يتم إرسال إشعار عبر Slack إلى الفريق المعني مع تفاصيل التنبيه والإجراءات المتخذة
تكوين سير العمل – دليل خطوة بخطوة
1. قم بتسجيل الدخول إلى Tines أو إنشاء حساب جديد.
2. انتقل إلى سير العمل المسبق البناء في المكتبة. اختر الاستيراد.
3. إعداد بيانات الاعتماد الخاصة بك
ستحتاج إلى بيانات اعتماد لجميع الأدوات المستخدمة في سير العمل هذا. يمكنك إضافة أو إزالة أي أدوات ترغب في تعديلها لتناسب بيئتك.
- Confluence
- CrowdStrike
- AbuseIPDB
- EmailRep
- Okta
- Slack
- Tavily
- URLScan.io
- VirusTotal
من صفحة بيانات الاعتماد، اختر بيانات اعتماد جديدة، وانتقل لأسفل إلى بيانات الاعتماد ذات الصلة وأكمل الحقول المطلوبة. اتبع أدلة بيانات الاعتماد على explained.tines.com إذا كنت بحاجة إلى مساعدة.
4. تكوين الإجراءات الخاصة بك.
قم بتعيين متغيرات البيئة الخاصة بك. في سير العمل هذا، يتطلب تحديد قناة Slack للإشعارات (محدد مسبقًا إلى #alerts، ولكن يمكن تعديله في إجراء Slack).
5. تخصيص مطالبات الذكاء الاصطناعي
يتضمن سير العمل وكيلين رئيسيين من الذكاء الاصطناعي:
- وكيل تحليل التنبيه: تخصيص المطلب للمساعدة في تحديد أنواع التنبيهات
- وكيل الإصلاح: تخصيص المطلب لتوجيه إجراءات الإصلاح
6. اختبار سير العمل.
قم بإنشاء تنبيه اختبار للتحقق من:
- تصنيف التنبيه بشكل صحيح
- استرجاع إجراءات التشغيل القياسية الصحيحة من Confluence
- إنشاء حالة مع التفاصيل المناسبة
- تنفيذ خطوات الإصلاح
- إرسال إشعار عبر Slack
7. نشر وتفعيل
بمجرد الاختبار، قم بنشر سير العمل ودمجه مع أدوات الأمان الخاصة بك لبدء تلقي التنبيهات الحية.
إذا كنت ترغب في اختبار هذا سير العمل، يمكنك التسجيل للحصول على حساب Tines مجاني.
