Splunk Phatom (SOAR)




Hace ya un tiempo que Splunk compro Phantom.

Phantom es un producto de SOAR (Security orchestration, automation and response) que se instala de forma independiente (modo stand alone, stand by o cluster) y sirve para poder automatizar y clasificar todas las tareas que nuestros analistas o gente de helpdesk tiene que ejecutar de forma repetitiva siempre que ocurra un incidente de seguridad (IP sospechosas, comprobar hash de ficheros ...)

Todas estas tareas se realizan mediante Playbooks y Apps.

  • Los Playbooks (link aquison scripts creados en python, los cuales nos permiten automtizar todo el proceso de triaje y clasificación de los incidentes (que vienen de nuestro SIEM) que muchas veces realizan los analistas, y donde tienen que invertir mucho tiempo. Para crear estos Playbook podemos realizarlos de forma visual en el VPE (Visual Playbook Editor) el cual nos "libera" de tener conocimientos de programación, aunque para hacer temas avanzados siempre viene muy bien tener un mínimo de conocimientos en python. Además estos Playbooks se guardan en un repositorio GIT, el en el cual nos permite llevar un control de versiones

 

  • Respecto a las Apps (link aquitenemos una gran variedad, desde poder conectarnos a un servidor por SSH, crear tickets en nuestro helpdesk corporativo, actualizar información de eventos en nuestro SIEM ...

En las próximas semanas os iré actualizando con mas información

Comentarios

Publicar un comentario

Entradas populares de este blog

REGISTRAR UNA DLL EN SISTEMAS 64 BITS

¿QUE ES ALTIRIS CLIENT MANAGEMENT SUITE?

Arquitecturas Splunk: Capitulo 1 - Introduccion