最流行的插件
当您开始构建工作流程时,您可能会淹没可供选择的插件和可用操作。下面,我们列出了流行的插件及其常用用途,以帮助您成功自动化工作流程。
JIRA, ServiceNow和PagerDuty
这些票务系统插件是非常有价值的安全运营团队。它们跟踪当前任务,保存特定任务信息,跟踪票据的指标,并允许您的安全团队与IT和帮助台一起工作。这些InsightConnect插件使用直接从技术堆栈收集的信息自动创建和更新票据,根据警报内容的结果分配特定的团队成员,移动或监控票据状态,以及其他选项。
Gmail & Microsoft Exchange
这些是流行的电子邮件插件,从其他供应商接收各种电子邮件提醒,并将它们传递到平台上。使用这些插件来监视你的收件箱,采取行动反对钓鱼邮件,和许多其他基于电子邮件的选项。
其他电子邮件插件
IMAP
对于目前不支持InsightConnect直接插件的电子邮件提供商,您可以使用IMAP (Internet Message Access Protocol)作为连接电子邮件邮箱的通用方式。您可以使用IMAP插件来监视任何给定的收件箱,以防止新消息的到达,对钓鱼邮件采取行动,以及许多其他基于电子邮件的触发器。检查您的电子邮件提供商,以确保IMAP协议已启用。
SMTP
这支持发送电子邮件,无论您的帐户与电子邮件提供商相关联。使用此插件发送自定义的电子邮件警报,从您的InsightConnect工作流收集信息。
集成
Nexpose企业
如果您拥有exposure Enterprise,可以使用它来集成两个产品。运行网络扫描漏洞并从这些漏洞中检索数据;将信息解析到票务系统中,以跟踪修补发现的漏洞的进度,或直接与修补程序管理系统集成,以及各种其他操作。
休息
使用它与RESTful服务集成。这将把InsightConnect连接到任何支持HTTP(s) REST接口的平台。
用户安全控制
Duo_Admin
使用此功能可以访问或更改Duo内的用户信息。当需要控制用户对任何需要双因素身份验证的资源的访问时,这个插件可以很好地与InsightConnect配置/解除配置工作流一起工作。
Duo_Auth
使用它可以通过Duo应用程序自动授权请求。对于需要更有效访问请求的大型安全团队来说,这很方便,可以临时禁用用户帐户、重新映像一台机器、向关键资产组推送补丁或其他各种操作。
安全团队效率
ExtractIt
一个常用的工具插件,包含在你的InsightConnect实例中。这提供了解析诸如url、IP地址、哈希值、文件路径等敏感信息的功能。这个插件消除了编写正则表达式来匹配这些模式和解析给定数据的需要。
Base64
这是一种定期保护数据完整性的加密模式。这个插件提供了使用这个模式加密和解密数据的功能。
挖
使用这个插件来执行DNS查询。
数据充实和吸收
VirusTotal
此插件可以通过验证找到的指示器是否是恶意的,并且如果是,则可以通过验证数据源,为什么。这是一个受欢迎的威胁英特尔源。
VirusTotal免费vs私有API
如果你正在使用VirusTotal插件,请确保你的API密钥使用符合VirusTotal的服务条款.如果您使用的是付费版本的VirusTotal,则VirusTotal API只能用于商业产品或服务,该付费版本允许您使用VirusTotal私有API功能和用法。
VirusTotal速率限制您使用免费API与我们的插件。将免费API用于商业用途有可能导致VirusTotal永久禁止你的VirusTotal帐户或组织使用他们的工具。
尽管有这个条件,InsightConnect的VirusTotal插件同时支持公共和私有API。除非您正在测试VirusTotal的功能,否则我们建议您使用私有API和付费VirusTotal帐户,以避免利率限制影响您的InsightConnect工作流程。
ElasticSearch
这是一个使用日志信息和收集报告、图表等的开源资源。将此作为获取信息的主要来源。
Splunk
将InsightConnect连接到Splunk Log Management和SIEM产品。您可以使用此插件配置警报,InsightConnect可以作为触发器接收警报。例如,如果在您的网络中检测到恶意软件,使用Splunk警报来触发工作流,丰富警报的上下文,更新防火墙规则,并执行其他补救措施。你也可以使用Splunk插件来索引和搜索Splunk中的数据作为你的工作流程中的动作。
谁是
Whois是一个浓缩源,可以查找有关IP地址或域名的信息。其中一个有价值的功能是在IP地址和域上执行地理定位的能力。使用这个插件确认可疑的位置登录;例如,如果你在美国,但你的员工显示来自中国的登录。
其他有用的插件
Python脚本
这是一个很有帮助的资源,允许您编写自己的自定义脚本,将其包含在流程中,并准确地实现您想要的结果。
计时器
计时器插件允许您计划执行的工作流程按小时,天,或星期。您还可以使用计时器来辅助延迟步骤,这在控制其他api的执行等情况下非常有用。