Sobre Integração com Threat Intelligence e External Signals

  • 1 minuto(s) lido(s)
Prev Next

Conectividade com Threat Intelligence e SIEM/SOAR

O Behavior Engine da plataforma Segura é projetado para operar não só com dados internos do ambiente, mas também integrando sinais e eventos externos para uma visão abrangente de risco. Essa integração multiplica o poder de detecção, resposta e adaptação do sistema.

  • Threat intelligence feeds: o Behavior Engine consome feeds de threat intelligence em tempo real, por exemplo, listas de indicadores de comprometimento (IOCs), dados sobre ataques emergentes, campanhas de phishing e ameaças globais. Eventos suspeitos em sessões de usuários podem ser automaticamente correlacionados com informações externas para detecção mais rápida e contextualizada de riscos.
  • Integração SIEM/SOAR : integração bidirecional com sistemas SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) permite que o Behavior Engine receba alertas externos e, também, envie eventos comportamentais críticos, acionando playbooks de resposta automática ou investigação.

Ações orquestradas e automatizadas

A conexão com fontes externas de risco permite ações orquestradas e resposta adaptativa:

  • Triggering de playbooks: detecção de comportamento anômalo, quando alinhada a alertas de threat intelligence ou SIEM, pode iniciar playbooks automáticos, como bloqueio de sessões, revogação de credenciais ou abertura de incidentes.
  • Risk-scoring dinâmico: o score de risco de cada usuário ou sessão é ajustado em tempo real conforme sinais recebidos de fontes externas, tornando as decisões de enforcement ainda mais precisas e contextualizadas.
  • Execução de política adaptativa: mudanças de risco vindas de inteligência externa impactam imediatamente as permissões, exigências de MFA, workflows de aprovação e outras políticas.

Exemplos práticos

  • IOC detected: se um endpoint utilizado em uma sessão for listado em um feed de IOCs, a sessão pode ser bloqueada automaticamente e o incidente encaminhado para investigação.
  • Correlacionamento de eventos: caso um comportamento suspeito em uma sessão coincida com uma campanha ativa de ataque identificada por threat intelligence, respostas automáticas são priorizadas.
  • Resposta integrada: o Behavior Engine pode ser configurado para atuar em conjunto com times SOC, ITSM e analistas de risco, garantindo que alertas relevantes sejam tratados em múltiplos sistemas de defesa.

Extensibilidade e customização

  • APIs e webhooks: permite fácil integração com novas fontes de threat intelligence, SIEM/SOAR proprietários, ou soluções de terceiros.
  • Triggers personalizadas: administradores podem criar triggers personalizados baseados em sinais de threat intelligence, permitindo respostas sob medida para o perfil de risco da organização.