Insightidr.

InsightIDR是一个安全中心,用于事件检测和响应、身份验证监控和端点可见性。InsightIDR识别来自外部和内部威胁的未授权访问,并突出可疑活动,因此您不必滚动数千个数据流。您可以通过以下方式访问InsightIDR洞察主页

InsightConnect的InsightIdr插件允许您在环境中自动调查和响应,以便更快地解决警报。此外,它允许您在日志,管理调查和更新威胁馈送时检索和执行高级查询。要了解有关插件功能的更多信息,请参阅InsightIdr扩展库列表

要使用InsightIdr插件,您需要在Rapid7 Insight帐户中生成API密钥。

创建一个新的InsightIdr API密钥

按照以下步骤为您生成新的API密钥。

  1. 打开您的InsightIdr主页,然后从页面右上角的设置COG图标菜单中选择API键

    设置

  2. 从左侧菜单中,选择API键的类型组织的关键用户的关键

    请注意,有两种类型的可用API键 - 组织密钥或用户密钥。一个组织API键允许访问Insight产品api,并且只能由平台管理员生成。的用户API键与单个用户关联,并继承该用户的所有权限。

    在这个例子中,我们正在生成一个用户的关键

    关键类型

  3. 选择键类型后,可以选择新用户的关键

    创建新用户密钥

  4. 从组织下拉框中选择您希望为其创建API密钥的组织,并键入密钥的名称——我们建议为密钥指定一个有意义的名称,以表明其用途。一旦完成,点击产生按钮。

    产生

  5. 您现在将显示您的API密钥。复制它并将其保存在密码管理器中。InsightConnect Connection配置步骤中将需要此API键。

    API键

在“InsightConnect”中配置InsightIDR连接

现在你已经在InsightIDR中创建了API Key,你可以在InsightConnect中配置InsightIDR连接来使用插件。

  1. 在InsightConnect中,打开InsightIDR插件的连接配置。
    • 您可以在工作流构建会话期间选择InsightIDR插件,或者通过选择独立创建连接来实现插件和工具设置选项卡在左边的菜单上。在插件和工具页面,选择连接标签并单击添加连接在右上角。

在InsightConnect中添加连接

  1. 配置InsightIDR插件的连接。

    • 给连接一个唯一且可识别的名称,选择插件应该在其上运行的协调器,并从列表中选择InsightIDR插件。如果它不可用,从安装插件选项卡。
  2. 配置InsightIDR凭据。

    • API键字段,选择凭证到现有InsightIdr帐户,或输入新创建的InsightIdR API用户的API密钥。
    • URL字段输入完整的URL(例如https://us.api.insight.rapid7.com.),请注意,区域将根据你的基地而变化。使用区域代码来确定API端点:https://region_code..api.insight.rapid7.com。看到地区代码为更多的信息。

InsightIDR连接

测试你的连接

保存连接时,连接测试将尝试对指定的InsightIdr实例进行身份验证。连接图块上的蓝色圆圈表示连接测试正在进行中。

在进行中

成功的连接测试

如果没有循环,则连接成功,您可以开始用InsightIDR编排流程了。

成功

连接测试失败

红色圆圈表示连接测试失败。如果发生这种情况,请在再次尝试之前检查连接详细信息(包括检查点NGFW URL,用户名和密码)。

失败的

日志可能包含有用的故障排除信息。首先,点击看法要查看最近的连接测试的列表。

查看最近的连接测试

测试状态选项卡,展开遇到错误以查看其日志的测试的下拉列表。

查看连接日志