SOC自动化入门:第1至15天

在您使用SOC Automation的前15天,您将学习InsightIDR和InsightConnect如何与Insight Orchestrator和云插件一起工作以支持工作流的基础知识。请按照以下步骤开始:

在你开始之前

回顾勒索软件工具包找到我们SoC自动化客户经常要求的推荐过程。我们建议您实现与您的环境相关的所有工作流程。大多数这些工作流程旨在为您的事件响应计划提供更大的操作效果,并且可以通过Slack或Microsoft团队扩展,以扩展您的计划在安全团队外的可见性。

Rapid7自动化

预计完成时间:30秒

  1. 在主页中,单击迅速采取行动按钮在右上角。快速操作不需要导入或管理协调器或工作流。
  2. 选择一个用例,并在您登录到Insight Platform时的任何时刻开始使用这些零部署用例!dota2必威联赛
  3. 了解更多的InsightConnect插件和工作流,您可以开始导入和自定义访问Rapid7扩展库与齿轮旁边的图标在您的insight平台的右上角(顶部的黑色条)。dota2必威联赛

利用InsightConnect预构建工作流

预计完成时间:1分钟

预构建的工作流允许您使用InsightConnect快速自动化常见任务。

  1. 登录InsightConnect。
  2. 导航到主页,并从仪表板发现在顶部查看。
  3. 在下面威胁检测和响应的推荐工作流程将是名为的工作流模板“你好IDR警戒”.选择导入模板的选项并查看工作流细节。
  4. 激活在控制面板视图的右上角,完成第一个工作流的部署。

祝贺您已成功将第一个工作流模板导入并部署到InsightConnect中

当您准备在您的安全程序中扩展您的自动化使用时,请使用InsightConnect Discover Experience查看更多的工作流建议!*

从调查中启动工作流

预计完成时间:5分钟

  1. 登录InsightIDR。
  2. 一旦你配置好你的基本事件源,点击调查在左侧导航栏中。
  3. 单击已生成的任何调查的名称,打开调查后,单击采取行动按钮在右上角。
  4. 单击标题下拉菜单选择一个动作类别,选择所有工作流和代理操作然后单击继续按钮。
  5. 单击标题下拉菜单选择一个自动化操作,然后单击隐藏所有节的禁用工作流隐藏您无法在本次调查中使用的任何工作流。选择“你好IDR警戒”工作流,然后点击继续按钮。
  6. 如果有任何要配置的详细信息,它们将显示在配置细节部分。否则,一条消息将声明“此特定操作没有可用的配置细节。”
  7. 单击采取行动点击屏幕底部的按钮,您将返回调查。

在“调查”页面上,弹出横幅将显示“请求的工作流操作已开始处理。此操作完成后,我们将通知您。”操作完成后,一条消息将显示“请求的工作流活动已完成”

祝贺您已通过InsightIDR调查成功启动工作流

设置Orchestrator和插件

预计完成时间:1小时

要充分利用SOC自动化功能,您需要安装Insight Orchestrator、安装插件并建立插件连接。

安装并激活Insight Orchestrator

Insight Orchestrator是一个内部部件,使Insight平台从环境内部自动化服务,工具和其他RAIL7产品的电源。dota2必威联赛

通过访问了解有关Insight Orchestrators的更多信息,以及如何在Rapid7产品中使用Insight Orchestrators“洞察协调器概述”部分的帮助文档。

为您的组织导入插件

InsightConnect支持超过300的插件有效地自动化安全流程。
要导入插件,请按照下面的步骤操作使用插件

如果你在我们的可用插件中找不到你需要的工具,别担心!在许多情况下,您的安全需求可以通过其他插件解决,或者您可以通过讨论论坛请求新插件。

为每个插件设置连接

导入插件后,您需要为每个插件设置单独的连接,以验证InsightConnect到第三方工具和帐户的身份。每个插件可以有多个连接来满足您的需要。

连接通常包括凭据(如API密钥或其他敏感信息)和参数(如IP地址或端口号)。

您还可以阅读有关云插件的介绍,在不需要Insight Orchestrator的情况下部署自动化。更多的云选项可以在扩展中找到:启用云的

恭喜你!

您已经使用了预构建的工作流,从调查中启动了工作流,并设置了环境。接下来,创建警报和定义用例。