150.000 profesionales de la ciberseguridad utilizan TecnoFans para recopilar información sobre el panorama de amenazas en evolución.
La investigación y recopilación de amenazas son un paso de la inteligencia, la investigación y la respuesta generales sobre amenazas.
La API de ciberseguridad de TecnoFans permite a los equipos de seguridad integrar fácilmente la información que recopilan en TecnoFans en otros sistemas y aplicaciones. Algunos equipos usan la API para extraer datos sobre amenazas y vulnerabilidades y alimentar modelos más grandes de priorización de amenazas de aprendizaje automático. Algunos equipos usan la API para crear tickets de Jira basados en el contenido de los tableros de TecnoFans para asegurarse de que las vulnerabilidades críticas sean revisadas y parcheadas de manera oportuna.
El acceso a la API de TecnoFans (hasta 200.000 solicitudes por mes) es un complemento incluido en la Edición Enterprise del paquete TecnoFans for Cybersecurity.
En este tutorial, le mostraremos cómo usar la API de TecnoFans para acceder al contenido de sus feeds de seguridad, sus tableros y sus prioridades Leo.
Autenticación
Cuando se suscribe a TecnoFans for Cybersecurity Enterprise Edition, le proporcionaremos un token de acceso a TecnoFans especial asociado con su cuenta. Ese token le permitirá acceder al contenido de sus feeds, tableros y prioridades y realizar hasta 200,000 solicitudes por mes.
Artículos como JSON
La representación JSON de un artículo combina parte del contenido de código abierto incluido en el RSS o en el sitio web, información CVE / CVSS / Exploit agregada de bases de datos de vulnerabilidades y exploits, así como los resultados de los modelos de ciberseguridad de Leo.
El título, el contenido y la información visual le dan acceso al núcleo del contenido de los artículos:
La matriz commonTopics representa la clasificación de temas de Leo. Las entidades representan CVE, productos o empresas que Leo ha identificado en el artículo. La entidad CVE incluye CVSS y explota información extraída de bases de datos de vulnerabilidades.
El CVSS estimado representa el resultado del modelo de puntuación CVSS de Leo. Esto es útil para los días cero y los artículos que no mencionan explícitamente un CVE. En esos casos, Leo lee el contenido del artículo y calcula una puntuación CVSS aproximada según la terminología utilizada en el artículo o el tweet.
Consejo profesional: cuando tienes un artículo abierto en la aplicación web TecnoFans, puedes usar el atajo de teclado Shift + D para ver e inspeccionar el JSON del artículo.
Accediendo al contenido de sus feeds
Imaginemos que tiene una fuente de “Noticias de seguridad” que contiene una lista de fuentes de seguridad conocidas y confiables que desea seguir.
La API de TecnoFans le permite consultar TecnoFans y solicitar los últimos 100 artículos agregados en ese feed. Los artículos están normalizados en un formato JSON que incluye el título, el contenido, la información de la fuente, así como todos algunos metadatos de ciberseguridad (clasificación de temas Leo, metadatos CVE, metadatos CVSS, información de exploits.
Puede utilizar el punto final de Stream para publicar los últimos 100 artículos en una fuente:
El parámetro más importante es el streamId. Cada feed de su cuenta de TecnoFans tiene una identificación de flujo única. Cuando selecciona el feed en la barra de navegación izquierda, ve el streamId como parte de la URL. La identificación de la transmisión tiene el formato `empresa / xxxx / categoría / xxxx` para las fuentes del equipo y` usuario / xxxx / categoría / xxxx` para las fuentes personales.
los parámetro de recuento define el número de artículos que devolverá el servidor. Le recomendamos que seleccione un número entre 20 y 100. Si necesita acceder a más de 100 artículos, puede utilizar el parámetro de continuación devuelto por la respuesta para encadenar las solicitudes y solicitar los próximos 100 artículos.
Finalmente, el importantOnly parámetro le permite obtener la lista de artículos en las novedades que Leo ha priorizado.
Consejos para solucionar problemas:
- Asegúrese de que las solicitudes que realiza estén autenticadas utilizando el token que recibió del equipo de TecnoFans.
- Asegúrese de que streamId esté codificado en URL cuando se pase como parámetro al extremo de Stream.
Accediendo al contenido de sus tableros
Los equipos de seguridad usan tableros para marcar los artículos críticos que todos los miembros del equipo deben conocer. También suelen utilizar tableros para marcar los artículos que desean compartir con otras aplicaciones.
Puede utilizar el mismo punto final de Stream para acceder a los últimos N artículos que su equipo marcó manualmente en un tablero.
La única diferencia será el streamId. Los streamIds del tablero de equipo tienen el formato `enterprise / xxxx / tag / xxxx`. Los streamIds del tablero personal tienen el formato `usuario / xxxx / etiqueta / xxxx`.
Si los usuarios han anotado los artículos con algunas notas y puntos destacados mientras guardan el artículo en un tablero, esas notas y puntos destacados se incluirán en la estructura JSON del artículo.
Ejemplo: integración de TecnoFans con su sistema de venta de entradas
A continuación, se muestra un ejemplo de cómo puede optimizar la integración entre el trabajo de investigación y recopilación de su equipo de inteligencia de amenazas y el trabajo de análisis y parcheo de su equipo de operaciones.
El equipo de investigación crea un tablero TecnoFans llamado Critical Vulns donde por qué marcar artículos relacionados con vulnerabilidades críticas que quieren que el equipo de operaciones esté al tanto y revise.
Cada vez que el equipo de investigación encuentra una información crítica, guarda ese artículo en el tablero de Vulns críticas y agrega una nota sobre por qué creen que la vulnerabilidad debe ser revisada y parcheada.
En lugar de pedirle al equipo de investigación que cree manualmente un ticket en su sistema de tickets (Jira, Service Now, etc.), puede escribir una pequeña aplicación que cada 5 minutos se conecta al tablero de Critical Vulns, solicita los últimos 20 artículos marcados en ese tablero, y para cada nuevo artículo, usó la API de su sistema de venta de boletos para crear un nuevo boleto. La aplicación puede enriquecer el ticket con la URL del artículo guardado en el tablero, la información del CVE y las notas y destacados del investigador.
Esta es una forma poderosa de romper los silos entre su equipo de investigación y su equipo de operaciones y asegurarse de que las vulnerabilidades críticas se reparen más rápido.
Consejo profesional: existe una solución sencilla para encontrar los nuevos artículos guardados en un tablero. Cuando su aplicación procesa una lista de artículos, debe guardar el primer artículo de la lista y la próxima vez que use la aplicación Stream TecnoFans para obtener los últimos artículos marcados en un tablero, su aplicación puede usar el parámetro newerThan del / v3 / stream / content y pase ese ID de artículo en lugar de una marca de tiempo para obtener artículos más nuevos.
Mucho más…
La aplicación web TecnoFans y las aplicaciones móviles se basan en la API de TecnoFans. Esto significa que toda la información disponible en la aplicación y cada acción realizada en la aplicación está disponible en la API.
Para obtener más información sobre la API de TecnoFans, visite el sitio web para desarrolladores de TecnoFans.
Optimice su inteligencia de código abierto
Estamos emocionados de ver que muchos equipos de seguridad utilizan la API de TecnoFans para optimizar su proceso de inteligencia de amenazas de código abierto. ¡Regístrese hoy y descubra lo que TecnoFans for Cybersecurity puede hacer por usted!
Si está interesado en obtener más información sobre la hoja de ruta de Leo, puede unirse a TecnoFans Community Slack. ¡2020 será un año emocionante con nuevas habilidades y experimentos audaces!
