Cortex-Analyzers 3.4.0 : déchaînez Falcon avec les nouveaux analyzers et responders CrowdStrike

Les abeilles et les faucons unissent leurs forces pour renforcer la ruche. Nous sommes ravis d’annoncer la sortie de Cortex-Analyzers 3.4.0, qui enrichit notre arsenal avec de nombreux analyzers et responders pour CrowdStrike Falcon, pris en charge et maintenus par StrangeBee.

CrowdStrike Falcon étant l’une des solutions EDR les plus populaires, le renforcement de son intégration avec TheHive offre des avantages significatifs pour tous les professionnels de la réponse à incident. Voici Cortex-Analyzers 3.4.0 !

Nous lançons quatre nouveaux analyzers CrowdStrike Falcon dans cette version, conçus pour fournir aux analystes un contexte plus riche et des informations directement exploitables dans TheHive. Obtenir les détails sur un terminal Récupérez des détails complets sur un terminal dans votre environnement, notamment le dernier utilisateur connecté et l’état de l’agent CrowdStrike Falcon.

Obtenir les vulnérabilités d’un terminal Obtenez une liste des vulnérabilités identifiées sur un hôte à l’aide de Falcon Spotlight.

Obtenir les alertes d’un terminal Récupérez une liste d’alertes liées à un hôte afin de passer rapidement en revue toutes les détections associées.

Falcon Sandbox Tirez parti de Falcon Sandbox pour une analyse approfondie des fichiers, ce qui vous permet de détecter et d’analyser efficacement les fichiers malveillants et d’obtenir des informations directement dans TheHive.

Confinez ou atténuez les menaces dans CrowdStrike Falcon directement depuis TheHive. Cette nouvelle version propose plusieurs responders couvrant une variété d’actions de réponse utiles, particulièrement précieuses dans les scénarios sensibles au facteur temps. Action de réponse sur les hôtes Grâce à l’API CrowdStrike Falcon Hosts, nous avons ajouté des variantes de responders permettant aux analystes d’exécuter toutes les actions de réponse disponibles sur les hôtes, notamment les deux plus importantes dans le cadre d’une réponse à un incident :

• Confinement des hôtes : isolez rapidement les hôtes compromis pour empêcher la propagation des menaces.
• Levée du confinement : remettez les hôtes en ligne en levant le confinement une fois qu’ils sont à nouveau sécurisés.

D’autres actions de réponse sur les hôtes sont disponibles :

• Supprimer les détections : supprimez les détections pour un hôte.
• Masquer les hôtes : excluez les hôtes de certaines vues ou tâches de gestion.
• Annuler les actions : annulez l’une des actions ci-dessus si nécessaire, en utilisant le bon Responder.

Gestion des IoC Gérez les indicateurs de compromission (IoC) dans votre CrowdStrike Falcon directement depuis TheHive pour prendre de l’avance et bloquer les hachages, déclencher des alertes pour les adresses IP et les domaines à travers votre flotte de terminaux. Vous pouvez également annuler ces actions si nécessaires, ce qui vous donne un plus grand contrôle sur la gestion de vos IoC. Responders CrowdStrike Status Sync Nous avons également ajouté un responders CrowdStrike Status Sync. Ce responders met en correspondance les étapes des incidents et des alertes de TheHive avec les statuts des détections et des incidents de CrowdStrike Falcon, garantissant que les statuts de vos investigations sont synchronisés avec CrowdStrike Falcon.

Depuis la version 5.0.14 de TheHive et la version 3.1.7 de Cortex, les catalogues sont automatiquement récupérés. Par conséquent, vous pouvez déjà voir les nouveaux analyzers et responders dans votre instance Cortex. Il ne vous reste plus qu’à vous connecter dans votre instance Cortex, à activer les analyzers and responders, ainsi qu’à mettre à jour les modèles de rapport des analyzers pour une expérience optimale. Si vous rencontrez une situation différente ou si vous souhaitez en savoir plus, n’hésitez pas à consulter notre guide Comment mettre à jour les analyzers & responders pour obtenir des instructions détaillées.

Nous sommes impatients de développer d’autres intégrations à l’avenir et d’aller encore plus loin ! N’hésitez pas à nous faire savoir ce qui pourrait être amélioré et ce que vous aimeriez voir à l’avenir par le biais de notre plateforme de support. Nous sommes impatients de fournir plus de contenu utile aux pros de la réponse à incident dans le monde entier !