Wir haben die ByteRay CQL Hub Foundry App um zwei Features erweitert:
Correlation Rules, die aus einem Rule-Template erstellt wurden, sollten regelmäßig auf Änderungen im zugrundeliegenden Template geprüft werden. CrowdStrike aktualisiert und verbessert Rule-Templates über die Zeit, Änderungen übertragen sich jedoch nicht automatisch in das eigene Regelwerk. Das ist auch gut so, niemand will, dass sich das eigene Regelwerk nachts von allein umschreibt.
Wir prüfen diese Rule-Drift regelmäßig in unseren Kundenumgebungen und justieren das Regelwerk bei Bedarf, um von der Weiterentwicklung seitens CrowdStrike zu profitieren.
Der Drift Checker nimmt jede Regel, die aus einem Template stammt, und stellt sie neben die aktuelle Template-Version. Gibt es Abweichungen, werden sie Zeile für Zeile angezeigt: Template in Rot, eigene Fassung in Grün.
Das zweite Problem ist simpler, aber genauso zäh. Aus einem Template können über die Zeit mehrere Regeln entstehen. Verschiedene Admins, verschiedene Zeitpunkte, jede ein bisschen anders eingestellt. Bei Umgebungen mit einer hohen Anzahl an implementierten Templates fallen Duplikate kaum auf und spiegeln sich oft nur im Alert-Volumen wider.
Der Duplicate Checker gruppiert die Regeln nach gemeinsamem Template und zeigt, wo sich mehrere dieselbe Basis teilen.
Wir setzen in der Beratung und unseren Projekten oft auf die Entwicklung von Apps in Foundry. Das ermöglicht uns, Werkzeuge für uns und unsere Kunden zu erstellen, die den Funktionsumfang der Falcon Plattform erweitern. Die ByteRay CQL Hub App haben wir kostenlos für alle CrowdStrike Kunden im Foundry App Store bereitgestellt.
Lust auf einen genaueren Blick auf Ihr Regelwerk? Vereinbaren Sie einen Termin mit uns.
Termin auswählen
Vom Exploit bis zur Defense: Echte Security-Insights aus unserem SOC und Research-Lab
