Разбор подозрительных файлов с проверкой по базе угроз

По сигналу о подозрительном файле сценарий проверяет его отпечаток по базе угроз, собирает понятную сводку, заводит инцидент и оповещает команду письмом и в мессенджере.

  • Проверяет отпечаток файла по базе угроз автоматически
  • Собирает понятную сводку: что за файл и чем опасен
  • Заводит инцидент и оповещает команду сразу
  • Отсеивает безобидное — тревожит только по реальному
Webhook

Как это работает

Чтобы получать уведомления из AWS SES в ServiceNow, не нужен программист: готовый сценарий следит за событиями и присылает сообщения сам.

  1. Запуск: Оповещение Wazuh
  2. Затем: Извлечь IOCs
  3. Затем: Проверить хеш файла через VirusTotal
  4. Затем: Сгенерировать сводку файла
  5. Затем: Отображение сводки файла
  6. Затем: Gmail1
  7. Проверка: Отфильтровать подозрительные файлы
  8. Если да — Оповещение в Slack о файле
  9. Если да — Создать инцидент файла

Эту интеграцию AWS SES и ServiceNow можно запустить в Scriptera: опишите задачу словами — сценарий соберут, запустят и будут следить, чтобы он работал.