Entradas

Mostrando entradas de enero, 2021

Splunk Phatom (SOAR)

Imagen
Hace ya un tiempo que Splunk compro Phantom . Phantom es un producto de SOAR (Security orchestration, automation and response)   que se instala de forma independiente (modo stand alone, stand by o cluster) y sirve para poder automatizar y clasificar todas las tareas que nuestros analistas o gente de helpdesk tiene que ejecutar de forma repetitiva siempre que ocurra un incidente de seguridad (IP sospechosas, comprobar hash de ficheros ...) Todas estas tareas se realizan mediante Playbooks y Apps. Los Playbooks ( link aqui )  son scripts creados en python, los cuales nos permiten automtizar todo el proceso de triaje y clasificación de los incidentes (que vienen de nuestro SIEM ) que muchas veces realizan los analistas, y donde tienen que invertir mucho tiempo. Para crear estos Playbook podemos realizarlos de forma visual en el VPE (Visual Playbook Editor) el cual nos "libera" de tener conocimientos de programación, aunque para hacer temas avanzados siempre viene muy bien tener