Automate

Das Automatisierungs-Framework von Hydden Discovery ermöglicht ereignisgesteuerte Reaktionen auf erkannte Konten, Bedrohungen und Systemereignisse. Durch die Konfiguration von Providern, Workflows und Triggern können Organisationen Teams automatisch benachrichtigen, Tickets erstellen und Probleme ohne manuelles Eingreifen beheben.

Übersicht

Das Automatisierungssystem besteht aus drei Kernkomponenten, die zusammenarbeiten, um reaktive Sicherheitsworkflows zu erstellen:

• Trigger: Ereignisse, die Workflows auslösen (Bedrohungserkennung, Erfassungsstatus, Datenvalidierung, Klassifizierungsänderungen, Entitätswarnungen)
• Provider: Aktionsendpunkte, die Reaktionen ausführen (E-Mail, ServiceNow, Webhooks, PAM-Systeme)
• Workflows: Konfiguration, die Trigger mit Providern über vorlagenbasierte Payloads und Filterregeln verbindet

Unterstützte Aktionstypen

Hydden Discovery unterstützt mehrere Aktions-Provider für die Integration mit vorhandenen Sicherheits- und IT-Betriebswerkzeugen:

Benachrichtigungs- und Ticketing-Aktionen

• E-Mail: Benachrichtigungen über SendGrid oder SMTP senden
  • SendGrid API-Integration
  • Direkte SMTP-Server-Verbindung
  • Unterstützt OAuth2-Authentifizierung
• ServiceNow: Incident-Tickets automatisch erstellen
  • Incident-Erstellung über die ServiceNow Table API
  • Vorlagenbasierte Kurzbeschreibung und Beschreibungsfelder
  • Basic-Authentifizierung
• Webhook: Integration mit jedem webhook-fähigen System
  • Unterstützt GET-, POST- und PUT-Methoden
  • Benutzerdefinierte Payload-Vorlagen
  • Bearer-Token- und anmeldeinformationsbasierte Authentifizierung
  • Automatische Wiederholung mit exponentiellem Backoff

Abhilfe-Aktionen

• Add to Vault: Konten automatisch in PAM-Systeme aufnehmen
  • CyberArk Privilege Cloud und Self-Hosted Unterstützung
  • BeyondTrust Password Safe Integration
  • Klassifizierungsgesteuertes Auto-Vaulting
  • Ratenbegrenztes Konto-Erstellen (30 Konten/Minute pro Collector)

Schlüsselkonzepte

Ereignisgesteuerte Architektur

Automatisierung in Hydden Discovery folgt einer ereignisgesteuerten Architektur:

1. Ereignisgenerierung: Systemereignisse (Erfassungsabschluss, Bedrohungserkennung, Klassifizierungsänderungen) werden als strukturierte Ereignisse generiert
2. Trigger-Abgleich: Der Workflow-Koordinator ordnet Ereignisse aktivierten Workflows basierend auf Trigger-Diskriminatoren zu
3. Filterung: Workflows können Ereignisse mithilfe von Filteroptionen filtern (z. B. bestimmte Bedrohungs-IDs oder Klassifizierungsregeln)
4. Vorlagenrendering: Workflow-Payloads werden mit Ereignisdaten und verfügbaren Variablen gerendert
5. Aktionsausführung: Der entsprechende Provider führt die Aktion aus (E-Mail senden, Ticket erstellen, Konto in Vault aufnehmen)
6. Genehmigungsverarbeitung: Workflows, die eine Genehmigung erfordern, warten auf die Freigabe durch den Manager

Verfügbare Trigger

Hydden Discovery unterstützt 8 Triggertypen in 5 Kategorien:

Kategorie	Trigger	Anwendungsfälle
Erfassungsstatus	Collection Succeeded, Collection Failed	Datenquellen-Gesundheit überwachen, bei Fehlern alarmieren
Datenvalidierung	Data Validation Succeeded, Data Validation Failed	Datenqualität verfolgen, auf Validierungsprobleme reagieren
Bedrohungserkennung	Threat Detected, Threat Resolved	Automatische Reaktion auf Sicherheitsbedrohungen, Incident-Erstellung
Klassifizierung	Classification Added, Classification Removed	Auto-Vaulting, Compliance-Workflows, Tagging
Entitätsänderungen	Entity Alert	Konto-/Gruppen-/Besitzeränderungen verfolgen (Erstellen/Aktualisieren/Löschen)

Jeder Trigger stellt eine Reihe von Variablen bereit (z. B. {threat_name}, {job_error}, {classification}), die in Workflow-Vorlagen verwendet werden können. Siehe das Thema Trigger für vollständige Variablenlisten.

Workflow-Filterung

Workflows können auf bestimmte Ereignisse eingegrenzt werden mithilfe von Filteroptionen:

• Bedrohungserkennung: Nach threatid filtern, um nur auf bestimmte Bedrohungsregeln zu reagieren
• Klassifizierung: Nach classificationid filtern, um Aktionen für bestimmte Klassifizierungen auszulösen
• Entitätswarnungen: Nach entityid und entityalerttype filtern (Erstellen/Aktualisieren/Löschen)

Vorlagenvariablen

Workflow-Payloads unterstützen die Substitution von Vorlagenvariablen mit der Syntax {variable_name}:

Subject: Threat Detected: {threat_name} on {platform}
Body: Account {name} triggered threat rule {threat_name} with a score of {score}.
Affected accounts: {accounts}

Variablen werden automatisch aus dem auslösenden Ereignis ausgefüllt. Siehe Trigger für verfügbare Variablen nach Triggertyp.

Warum Automatisierung konfigurieren

Automatisierung verwandelt Hydden Discovery von einer passiven Überwachungsplattform in eine aktive Sicherheitskontrolle, indem sofortige, konsistente Reaktionen auf erkannte Konten und Bedrohungen ermöglicht werden:

• Sicherheitsreaktion beschleunigen: Relevante Teams automatisch benachrichtigen, Tickets erstellen oder Abhilfe-Workflows in Echtzeit auslösen, wodurch die Zeit zwischen der Erkennung eines Risikos und der Reaktion von Stunden oder Tagen auf Sekunden reduziert wird.

• Konsistente Durchsetzung sicherstellen: Standardisierte Workflows definieren, die konsistente Richtlinien auf alle erkannten Konten anwenden und manuelle Prozessinkonsistenzen und menschliche Fehler eliminieren.

• Mit vorhandenen Werkzeugen integrieren: Hydden mit vorhandenen Sicherheits- und IT-Betriebswerkzeugen verbinden — ServiceNow, PAM-Systeme, SIEM-Plattformen, E-Mail-Provider — für nahtlose Integration in etablierte Workflows, ohne bestehende Investitionen zu ersetzen.

• Geschlossene Abhilfe ermöglichen: Für unterstützte PAM-Systeme wie CyberArk und BeyondTrust Konten automatisch basierend auf Klassifizierungsregeln in Vaults aufnehmen oder verschieben, wodurch der manuelle Verwaltungsaufwand reduziert und die Sicherheitslage privilegierter Konten verbessert wird.

• Sicherheitsbetrieb skalieren: Manuelle Triage und Abhilfe durch automatisierte Aktionen ersetzen, wodurch Sicherheitsteams exponentiell mehr Konten und Bedrohungen mit denselben Ressourcen verwalten können, während die Reaktionsqualität beibehalten oder verbessert wird.

• Audit-Trails pflegen: Alle automatisierten Aktionen werden protokolliert und verfolgt, was vollständige Audit-Trails für Compliance und forensische Analysen bietet.

Konfigurations-Workflow

Die Konfiguration der Automatisierung folgt einem dreistufigen Prozess:

1. Anmeldeinformationen erstellen: Anmeldeinformationen für Aktions-Provider konfigurieren (E-Mail-Server, ServiceNow-Instanzen, PAM-Vaults) unter Configuration > Settings > Credentials

2. Provider hinzufügen: Aktions-Provider auf der Registerkarte Providers mit Verbindungsdetails und Anmeldeinformationen konfigurieren

3. Workflows erstellen: Workflows auf der Registerkarte Workflows definieren durch Auswahl von:

   • Trigger: Das Ereignis, das den Workflow auslöst
   • Action: Der Provider, der die Reaktion ausführt
   • Payload/Configuration: Vorlagenbasierter Nachrichteninhalt oder Aktionsparameter
   • Filter Options (optional): Workflow auf bestimmte Ereignisse eingrenzen
   • Approval Settings (optional): Genehmigung durch Manager vor der Ausführung erfordern

4. Workflows aktivieren: Workflows in die Position "on" umschalten, um sie zu aktivieren

NOTE

Eine Erfassung muss mindestens einmal erfolgreich ausgeführt worden sein, bevor erfassungsbezogene Trigger ausgelöst werden können. Bedrohungserkennungs-Workflows erfordern, dass das Kontrollkästchen Allow Workflow Trigger in der Bedrohungserkennungsregel aktiviert ist.

Voraussetzungen

Vor der Konfiguration der Automatisierung:

• Anmeldeinformationen: Anmeldeinformationen für Aktions-Provider erstellen unter Configuration > Settings > Credentials
• Netzwerkzugriff: Sicherstellen, dass Hydden Discovery externe Systeme erreichen kann (SMTP-Server, ServiceNow-Instanzen, Webhook-Endpunkte, PAM-Vaults)
• Berechtigungen: Überprüfen, ob Servicekonten die entsprechenden Berechtigungen haben (z. B. ServiceNow Incident-Erstellung, PAM-Kontoverwaltung)
• Datenquellen: Mindestens eine Datenquelle muss konfiguriert und erfolgreich erfasst worden sein

Häufige Anwendungsfälle

Sicherheitsbetrieb

• Bedrohungsreaktion: Automatisch ServiceNow-Incidents erstellen, wenn hochriskante Bedrohungen erkannt werden
• Compliance-Alarmierung: E-Mail-Benachrichtigungen senden, wenn ruhende privilegierte Konten entdeckt werden
• SIEM-Integration: Bedrohungsereignisse über Webhook an SIEM-Plattformen weiterleiten

Privileged Access Management

• Auto-Vaulting: Neu entdeckte privilegierte Konten automatisch in CyberArk oder BeyondTrust aufnehmen
• Klassifizierungsbasiertes Vaulting: Konten in Vaults aufnehmen, wenn bestimmte Klassifizierungen angewendet werden
• Konto-Lebenszyklus: Konten aus Vaults entfernen, wenn Klassifizierungen entfernt werden

Betrieb und Überwachung

• Erfassungsüberwachung: Teams alarmieren, wenn Datenquellenerfassungen fehlschlagen
• Datenqualität: Datenverantwortliche benachrichtigen, wenn die Datenvalidierung fehlschlägt
• Änderungsverfolgung: Benachrichtigungen senden, wenn kritische Konten erstellt, geändert oder gelöscht werden

Verwandte Themen

• Trigger - Verfügbare Triggertypen und Variablen
• Provider - E-Mail-Provider konfigurieren (SendGrid, SMTP)
• Workflows - Workflows erstellen und verwalten
• Webhooks verwenden - Webhook-Integrationskonfiguration
• ServiceNow Ticket-Aktionen - ServiceNow Incident-Erstellung
• Add to Vault - PAM-Integration für Auto-Vaulting
• Bedrohungserkennungsregeln - Bedrohungserkennung konfigurieren
• Klassifizierungsregeln - Kontoklassifizierungskonfiguration
• Anmeldeinformationen - Anmeldeinformationen für Provider verwalten

Fehlerbehebung

Problem	Lösung
Workflow wird nicht ausgelöst	Überprüfen, ob der Workflow aktiviert ist (Umschalter auf "on"), prüfen, ob die Triggerbedingungen erfüllt sind, sicherstellen, dass Bedrohungsregeln "Allow Workflow Trigger" aktiviert haben
E-Mail wird nicht gesendet	SMTP-Server-Einstellungen überprüfen, Anmeldeinformationskonfiguration prüfen, Netzwerkkonnektivität zum Mailserver testen
ServiceNow-Ticket nicht erstellt	Endpunkt-URL-Format überprüfen, ServiceNow-Anmeldeinformationen auf Incident-Erstellungsberechtigungen prüfen, ServiceNow-Instanzprotokolle überprüfen
Webhook schlägt fehl	Webhook-URL auf Erreichbarkeit prüfen, Authentifizierungsanmeldeinformationen überprüfen, Webhook-Endpunktprotokolle auf Fehler prüfen
Vault-Integration schlägt fehl	PAM-Anmeldeinformationen auf Gültigkeit prüfen, Netzwerkzugriff auf Vault-System überprüfen, sicherstellen, dass Ratenbegrenzungen nicht überschritten werden (30 Konten/Minute), bestätigen, dass Ziel-Safe/Vault existiert
Variablen werden nicht ersetzt	Sicherstellen, dass Variablennamen mit den verfügbaren Variablen für den Triggertyp übereinstimmen (siehe Trigger), Vorlagensyntax auf {variable}-Format prüfen