链接警报并定义用例:第16-45天

一旦您理解了SOC自动化的基础知识,并安装了Insight Orchestrator和插件,您就可以开始使用警报自动化流程了。在此阶段,我们还建议您确定自动化会对您的团队需求产生影响的具体用例:

将工作流与警报配对

预计完成时间:5分钟

要将工作流与警报配对,可以使用所谓的“警报触发器”。此触发器将自动运行所选的工作流,以响应正在创建的警报。要了解更多关于如何创建警报触发器的信息,请访问警报触发页面。

预计完成时间:30 - 45分钟

将警报触发器链接到自定义警报,以启动工作流,自动化与威胁相关的预定义操作。访问自定义警报和InsightConnect工作流设置自定义警报的自动化。

映射用例

预计完成时间:你需要的时间

在你深入研究定制和激活工作流,我们建议您检查当前的安全流程,并确定自动化可能产生影响的特定用例。关于SOC自动化中需要考虑的流程的灵感,请查看Rapid7的SOC自动化剧本.这些用例将帮助您确定应该构建的工作流,并帮助您发现可以添加到InsightConnect的附加插件和连接。

检查现有文档

您可能已经在策略文档、威胁映射或响应映射等地方记录了安全流程。

想想你的任何一个过程:

  • 占用你安保团队的时间。
  • 占用过多的人力或计算能力。
  • 当您希望批量完成时,可以手动完成或单独完成。
  • 重复、乏味或不停地跑步。
  • 对人为错误或时机高度敏感。

其他InsightConnect客户发现价值的一些常见例子包括:

  • 查找用户、资产、漏洞和指示器的位置或声誉数据。
  • 使用查找提供的上下文来确认真假阳性警报。
  • 更新ITSM技术或通过向Chatops发布警报来扩大团队的可见性。
  • 控制和管理用户帐户、资产和防火墙策略。

一旦你在脑海中有了一个具体的过程,考虑以下问题:

什么信息启动了这个过程?

  • 这将是您的工作流程触发在InsightConnect。例如,您可以请求您的用户报告钓鱼企图。一个潜在的网络钓鱼报告可能是启动您的安全进程以响应此事件的“触发器”。

这些数据从何而来?

  • 这些信息可以帮助您确定您可能需要的触发类型。在网络钓鱼的情况下,你可以使用为Gmail、Office365、Microsoft Exchange或IMAP配置的插件触发器,或者为更独特的情况使用API触发器。

您的过程的潜在结果是什么?

  • 这就是你的工作流程所要达到的目标。例如,网络钓鱼工作流可能包含多个路径——在确定消息为恶意消息后执行补救的恶意路径,以及通知报告程序该消息看起来是安全的良性路径。

你会怎么处理这些信息?

  • 你用安全信息做的事是你的工作流步骤在InsightConnect。例如,在一个钓鱼事件响应过程中,您可能会将电子邮件转移为垃圾邮件,将其转发给您的安全团队,阻止或标记发件人的IP,或采取其他行动。您可以添加一个工作流步骤来执行每一个任务。

哪些工具可以帮助你执行这些行动?

  • 帮助您执行上一步操作的工具是您的插件在InsightConnect。例如,你是否使用JIRA或ServiceNow之类的票务软件来跟踪团队的工作?那么针对您的网络的补丁工具,如IBM BigFix或Microsoft SCCM呢?

您使用这些工具使用哪种类型的登录、帐户或配置信息?

这些信息可以帮助您进行配置连接为每个插件。通过这些连接,InsightConnect将这些产品的信息引入到您的工作流程中。例如,如果您使用Gmail,那么您可能有几个管理帐户来管理您的组织的通信。

您对这些问题的回答将帮助您理解如何构建InsightConnect工作流。跟踪您的安全工具列表!接下来将把这些工具的插件导入到InsightConnect中。

甜蜜的!

您已经将工作流与警报配对,将警报触发器链接到自定义警报,并映射用例。接下来,自定义和激活工作流!