设置InsightIDR警报触发器

InsightConnect可以轻松地与InsightIDR一起工作,以自动化事件调查和响应。目前有两种类型的InsightIDR触发器:

InsightIDR UBA告警触发

InsightIDR用户行为分析(UBA)警报触发器将警报数据从InsightIDR传递到InsightConnect工作流。您可以从任何InsightIDR调查中运行这些工作流,也可以通过设置警报触发器将它们设置为自动运行。要了解更多使用InsightConnect自动化InsightIDR的信息,请参见InsightIDR的自动化文档

InsightConnect从InsightIDR UBA告警触发器接收以下变量。嵌套变量在父变量下缩进:

  • 演员-包含以下变量的对象:
    • 资产—包含以下变量的对象数组:
      • assetID——字符串
      • fqdn——字符串
      • ——字符串
    • 用户—包含以下变量的对象数组:
      • distinguishedName——字符串
      • 电子邮件-字符串数组
      • 的名字字符串
  • 内容-包含以下变量的对象:
    • -字符串数组
    • ipaddress——包含以下变量的对象数组:
      • 知识产权——字符串
      • 类型——字符串
    • 流程-对象数组:
      • assetID——字符串
      • cmdline——字符串
      • 散列-包含字符串变量的对象数组哈希类型
      • 的名字——字符串
      • processID——整数
    • url-字符串数组
  • 描述——字符串
  • 调查ID——字符串
  • 链接——字符串
  • 的名字——字符串
  • 时间戳——字符串
  • 类型——字符串

InsightIDR自定义警报触发器

您还可以从InsightIDR或InsightOps自定义警报触发InsightConnect工作流。

InsightIDR自定义警报触发器可以是以下三种类型之一:

  • 模式检测
  • 缺乏运动检测
  • 变化检测。

根据触发工作流的警报类型的不同,InsightConnect中可用的信息略有不同。

下面标记了仅用于特定类型警报的变量。否则,变量可用于所有类型的警报。要在工作流中区分警报类型,可以使用类型变量的警报

当InsightIDR自定义警报触发器启动工作流时,InsightConnect会吸收以下变量:

  • 警报- - - - - -对象
    • id——字符串
    • 的名字——字符串
    • 类型——字符串
    • 触发- - - - - -对象
      • durationThresholdString(仅限非活动)
      • 模式-字符串(模式匹配和非活动)
      • 比较-整数(仅限变更检测)
      • 方向-字符串(仅更改检测)
      • 持续时间-整数(仅限变更检测)
      • 阈值-编号(仅更改检测)
  • correlationId——字符串
  • 事件- - - - - -对象
    • entryObject- - - - - -对象
    • 时间戳——整数
    • 条目-字符串(模式匹配)
    • sequenceId-整数(仅模式匹配)
    • lastMatchTimestamp- Integer (only Inactivity)
    • absoluteDiff-编号(仅更改检测)
    • 查询-对象(只检测更改)
      • 比较- - - - - -对象
        • fromTimestamp——整数
        • toTimestamp——整数
        • 查询——字符串
        • 价值——数量
      • 当前的- - - - - -对象
        • fromTimestamp——整数
        • toTimestamp——整数
        • 查询——字符串
        • 价值——数量
  • 日志——数组
    • id——字符串
    • 的名字——字符串
    • logSet——数组
      • id——字符串
      • 的名字——字符串