150.000 profesionales de la ciberseguridad utilizan TecnoFans para recopilar inteligencia sobre el panorama de amenazas en evolución.
La investigación y recopilación de amenazas son un paso de la inteligencia, investigación y respuesta generales sobre amenazas.
La API TecnoFans Cybersecurity permite a los equipos de seguridad integrar fácilmente la información que recopilan en TecnoFans en otros sistemas y aplicaciones. Algunos equipos utilizan la API para extraer datos sobre amenazas y vulnerabilidades y alimentar modelos más amplios de priorización de amenazas de aprendizaje automático. Algunos equipos utilizan la API para crear tickets de Jira basados en el contenido de los tableros de TecnoFans para asegurarse de que las vulnerabilidades críticas se revisen y parcheen de manera oportuna.
El acceso a la API TecnoFans (hasta 200.000 solicitudes por mes) es un complemento incluido en la edición Enterprise del paquete TecnoFans for Cybersecurity.
En este tutorial, le mostraremos cómo utilizar la API de TecnoFans para acceder al contenido de sus fuentes de seguridad, sus tableros y sus fuentes de IA.
Autenticación
Cuando se suscribe a TecnoFans for Cybersecurity Enterprise Edition, le proporcionaremos un token de acceso especial a TecnoFans asociado con su cuenta. Ese token le permitirá acceder al contenido de sus feeds, tableros y prioridades y realizar hasta 200.000 solicitudes por mes.
Artículos como JSON
La representación JSON de un artículo combina parte del contenido de código abierto incluido en el RSS o en el sitio web, información CVE/CVSS/Exploit agregada de bases de datos de vulnerabilidades y exploits, así como los resultados de los modelos de ciberseguridad TecnoFans AI.
El título, el contenido y la información visual le dan acceso al núcleo del contenido de los artículos:
La matriz commonTopics representa la clasificación de temas de TecnoFans AI. Las entidades representan CVE, productos o empresas que TecnoFans AI ha identificado en el artículo. La entidad CVE incluye CVSS y explota información extraída de bases de datos de vulnerabilidades.
El CVSS estimado representa el resultado del modelo de puntuación CVSS de TecnoFans AI. Esto es útil para días cero y artículos que no mencionan explícitamente un CVE. En esos casos, TecnoFans AI lee el contenido del artículo y calcula una puntuación CVSS aproximada basada en la terminología utilizada en el artículo o el tweet.
Consejo profesional: cuando tienes un artículo abierto en la aplicación web TecnoFans, puedes usar el método abreviado de teclado Shift+D para ver e inspeccionar el JSON del artículo.
Acceder al contenido de tus feeds
Imaginemos que tiene un canal de “Noticias de seguridad” que contiene una lista de fuentes de seguridad conocidas y confiables que desea seguir.
La API de TecnoFans le permite consultar TecnoFans y solicitar los últimos 100 artículos agregados en ese feed. Los artículos están normalizados en formato JSON que incluye el título, el contenido, la información fuente, así como todos los metadatos de ciberseguridad (metadatos CVE, metadatos CVSS, información de explotación).
Puedes usar el Punto final de la transmisión para obtener los últimos 100 artículos publicados en un feed:
El parámetro más importante es el streamId.. Cada feed en su cuenta TecnoFans tiene una identificación de transmisión única. Cuando seleccionas el feed en la barra de navegación izquierda, ves el streamId como parte de la URL. La identificación de la transmisión tiene el formato `enterprise/xxxx/category/xxxx` para feeds de equipo y `user/xxxx/category/xxxx` para feeds personales.
El parámetro de recuento define el número de artículos que devolverá el servidor. Le recomendamos que seleccione un número entre 20 y 100. Si necesita acceder a más de 100 artículos, puede utilizar el parámetro de continuación devuelto por la respuesta para encadenar las solicitudes y solicitar los siguientes 100 artículos.
Finalmente, el parámetro único importante le permite obtener la lista de artículos en la transmisión que TecnoFans AI ha priorizado.
Consejos para solucionar problemas:
- Asegúrese de que las solicitudes que realiza estén autenticadas utilizando el token que recibió del equipo de TecnoFans.
- Asegúrese de que streamId esté codificado en URL cuando se pase como parámetro al punto final de Stream.
Accediendo al contenido de tus tableros
Los equipos de seguridad utilizan tableros para marcar artículos críticos que todos los miembros del equipo deberían conocer. También suelen utilizar tableros para marcar artículos que desean compartir con otras aplicaciones.
Puede utilizar el mismo punto final de Stream para acceder a los últimos N artículos marcados manualmente por su equipo en un tablero.
La única diferencia será el streamId. Los streamIds del tablero de equipo tienen el formato “enterprise/xxxx/tag/xxxx”. Los streamIds del tablero personal tienen el formato `usuario/xxxx/tag/xxxx`.
Si los usuarios han anotado los artículos con algunas notas y aspectos destacados al guardar el artículo en un tablero, esas notas y aspectos destacados se incluirán en la estructura JSON del artículo.
Ejemplo: integrar TecnoFans con su sistema de venta de entradas
A continuación se muestra un ejemplo de cómo puede optimizar la integración entre el trabajo de investigación y recopilación de su equipo de inteligencia de amenazas y el trabajo de análisis y aplicación de parches de su equipo de operaciones.
El equipo de investigación crea un tablero de TecnoFans llamado Critical Vulns donde marcar artículos relacionados con vulnerabilidades críticas quieren que el equipo de operaciones esté al tanto y las revise.
Cada vez que el equipo de investigación encuentra una idea crítica, guarda ese artículo en el tablero de Critical Vulns y agrega una nota sobre por qué creen que la vulnerabilidad necesita ser revisada y parcheada.
En lugar de pedirle al equipo de investigación que cree manualmente un ticket en su sistema de tickets (Jira, Service Now, etc.), puede escribir una pequeña aplicación que cada 5 minutos se conecte al tablero de Critical Vulns y solicite los últimos 20 artículos marcados en ese. tablero, y para cada artículo nuevo, utilizó la API de su sistema de emisión de boletos para crear un nuevo boleto. La aplicación puede enriquecer el ticket con la URL del artículo guardado en el tablero, la información CVE y las notas y aspectos destacados del investigador.
Esta es una manera poderosa de romper los silos entre su equipo de investigación y su equipo de operaciones y asegurarse de que las vulnerabilidades críticas se solucionen más rápido.
Consejo profesional: existe una solución sencilla para encontrar los nuevos artículos guardados en un tablero. Cuando su aplicación procesa una lista de artículos, debe guardar el primer artículo de la lista y la próxima vez que use la aplicación Stream TecnoFans para marcar los últimos artículos en un tablero, su aplicación puede usar el parámetro más nuevo que del /v3/stream/content y pase esa identificación del artículo en lugar de una marca de tiempo para obtener artículos más nuevos.
Mucho más…
La aplicación web TecnoFans y las aplicaciones móviles están construidas sobre la API TecnoFans. Esto significa que cada pieza de información disponible en la aplicación y cada acción realizada en la aplicación está disponible en la API.
Para obtener más información sobre la API de TecnoFans, visite el sitio web para desarrolladores de TecnoFans (https://developer.feedly.com/).
Optimice su inteligencia de código abierto
Nos entusiasma ver que muchos equipos de seguridad utilizan la API TecnoFans para optimizar su proceso de inteligencia sobre amenazas de código abierto. ¡Regístrese hoy y descubra lo que TecnoFans for Cybersecurity puede hacer por usted!
