Ekipa stojąca za platformą Tines, specjalizującą się w orkiestracji, sztucznej inteligencji i automatyzacji, prowadzi unikalną bibliotekę gotowych przepływów pracy. Te przepływy pracy zostały stworzone i udostępnione przez doświadczonych profesjonalistów z branży bezpieczeństwa, a następnie zostały bezpłatnie udostępnione społeczności w edycji Community Edition platformy. To doskonałe źródło narzędzi, które umożliwiają szybkie wdrożenie gotowych rozwiązań w codziennej pracy zespołów zajmujących się operacjami bezpieczeństwa.
W ramach cyklicznego konkursu „You Did What with Tines?!”, organizatorzy wyróżniają najciekawsze zastosowania ich platformy. W wielu przypadkach zgłoszenia konkursowe pokazują, jak wykorzystać modele językowe (LLM) do rozwiązywania złożonych problemów w dziedzinie bezpieczeństwa. Jednym z ostatnich zwycięzców był przepływ pracy zaprojektowany do zautomatyzowanego raportowania CrowdStrike RFM, opracowany przez analityka bezpieczeństwa, Toma Powera, z Uniwersytetu Kolumbii Brytyjskiej.
Wyzwanie: czasochłonne raportowanie
Zespół ds. operacji bezpieczeństwa (SecOps) w swojej pracy codziennie borykał się z czasochłonnym procesem raportowania, który dotyczył urządzeń w tzw. Reduced Functionality Mode (RFM) w CrowdStrike Falcon. Jak tłumaczy Tom Power, system ten wchodzi w ten stan, gdy wersja systemu operacyjnego lub jądra jest zbyt stara lub zbyt nowa, aby sensor mógł działać w trybie jądra.
Każdego tygodnia zespół logował się do konsoli Falcon, filtrował urządzenia w stanie RFM i generował raport. Dzięki temu mogli identyfikować aktualizacje jądra powodujące problemy, szczególnie w przypadku urządzeń z systemem Linux. Jednak proces ten wymagał ręcznego sprawdzania, czy CrowdStrike wydał nową wersję sensora zgodną z najnowszymi aktualizacjami kernela. Jak podsumowuje Tom, cały proces zajmował średnio 30 minut tygodniowo, co rocznie przekładało się na ponad 25 godzin poświęconych na monotonne zadania zamiast bardziej palących priorytetów w dziedzinie cyberbezpieczeństwa.
Rozwiązanie: Automatyzacja raportowania RFM
Zautomatyzowany przepływ pracy, który zaprojektował Tom, eliminuje potrzebę ręcznego raportowania. Dzięki platformie Tines i jej funkcji AI-driven Automatic Mode cały proces raportowania został uproszczony i przyspieszony. Narzędzie nie tylko generuje spójne raporty, ale dodatkowo umożliwia monitorowanie trendów związanych z występowaniem problemów RFM, co znacznie ułatwia zarządzanie zdrowiem systemów i podejmowanie szybszych decyzji.
Zautomatyzowany przepływ umożliwia analitykom zgłaszanie zapotrzebowania na raport za pomocą prostego formularza internetowego. W ciągu kilku minut przepływ pracy pobiera dane, przetwarza je i wysyła raport e-mail z załącznikiem CSV oraz szczegółowymi wnioskami. Efektem końcowym jest oszczędność czasu, eliminacja błędów ludzkich i dostęp do danych w czasie rzeczywistym.
Przykład wynikowego raportu:
Zalety zautomatyzowanego systemu raportowania
- Oszczędność czasu pracy analityków, którzy mogą skupić się na priorytetowych zadaniach.
- Eliminacja błędów ludzkich poprzez automatyzację.
- Stworzenie spójnych, rzetelnych raportów poprawiających produktywność zespołu.
- Usprawnione podejmowanie decyzji dzięki analizie trendów w czasie rzeczywistym.
- Poprawa morale zespołu dzięki wyeliminowaniu nudnych i powtarzalnych obowiązków.
Raportowanie z wykorzystaniem sztucznej inteligencji staje się coraz istotniejsze w dziedzinie cyberbezpieczeństwa, a rozwiązania takie jak Tines pokazują, jak znacząco można usprawnić codzienną pracę zespołów oraz zwiększyć ich efektywność poprzez zaawansowaną automatyzację procesów.