链接警报并定义用例:第16-45天

一旦您理解了SOC自动化的基础知识，并安装了Insight Orchestrator和插件，您就可以开始使用警报自动化流程了。在此阶段，我们还建议您确定自动化会对您的团队需求产生影响的具体用例:

• 将工作流与警报配对
• 将警报触发器链接到自定义警报
• 映射用例

将工作流与警报配对

预计完成时间:5分钟

要将工作流与警报配对，可以使用所谓的“警报触发器”。此触发器将自动运行所选的工作流，以响应正在创建的警报。要了解更多关于如何创建警报触发器的信息，请访问警报触发页面。

将警报触发器链接到自定义警报

预计完成时间:30 - 45分钟

将警报触发器链接到自定义警报，以启动工作流，自动化与威胁相关的预定义操作。访问自定义警报和InsightConnect工作流设置自定义警报的自动化。

映射用例

预计完成时间:你需要的时间

在你深入研究定制和激活工作流，我们建议您检查当前的安全流程，并确定自动化可能产生影响的特定用例。关于SOC自动化中需要考虑的流程的灵感，请查看Rapid7的SOC自动化剧本．这些用例将帮助您确定应该构建的工作流，并帮助您发现可以添加到InsightConnect的附加插件和连接。

想想你的任何一个过程:

• 占用你安保团队的时间。
• 占用过多的人力或计算能力。
• 当您希望批量完成时，可以手动完成或单独完成。
• 重复、乏味或不停地跑步。
• 对人为错误或时机高度敏感。

其他InsightConnect客户发现价值的一些常见例子包括:

• 查找用户、资产、漏洞和指示器的位置或声誉数据。
• 使用查找提供的上下文来确认真假阳性警报。
• 更新ITSM技术或通过向Chatops发布警报来扩大团队的可见性。
• 控制和管理用户帐户、资产和防火墙策略。

一旦你在脑海中有了一个具体的过程，考虑以下问题:

什么信息启动了这个过程?

• 这将是您的工作流程触发在InsightConnect。例如，您可以请求您的用户报告钓鱼企图。一个潜在的网络钓鱼报告可能是启动您的安全进程以响应此事件的“触发器”。

这些数据从何而来?

• 这些信息可以帮助您确定您可能需要的触发类型。在网络钓鱼的情况下，你可以使用为Gmail、Office365、Microsoft Exchange或IMAP配置的插件触发器，或者为更独特的情况使用API触发器。

您的过程的潜在结果是什么?

• 这就是你的工作流程所要达到的目标。例如，网络钓鱼工作流可能包含多个路径——在确定消息为恶意消息后执行补救的恶意路径，以及通知报告程序该消息看起来是安全的良性路径。

你会怎么处理这些信息?

• 你用安全信息做的事是你的工作流步骤在InsightConnect。例如，在一个钓鱼事件响应过程中，您可能会将电子邮件转移为垃圾邮件，将其转发给您的安全团队，阻止或标记发件人的IP，或采取其他行动。您可以添加一个工作流步骤来执行每一个任务。

哪些工具可以帮助你执行这些行动?

• 帮助您执行上一步操作的工具是您的插件在InsightConnect。例如，你是否使用JIRA或ServiceNow之类的票务软件来跟踪团队的工作?那么针对您的网络的补丁工具，如IBM BigFix或Microsoft SCCM呢?

您使用这些工具使用哪种类型的登录、帐户或配置信息?

这些信息可以帮助您进行配置连接为每个插件。通过这些连接，InsightConnect将这些产品的信息引入到您的工作流程中。例如，如果您使用Gmail，那么您可能有几个管理帐户来管理您的组织的通信。

您对这些问题的回答将帮助您理解如何构建InsightConnect工作流。跟踪您的安全工具列表!接下来将把这些工具的插件导入到InsightConnect中。