自定义警报和InsightConnect工作流

您可以自动化您的团队对威胁的响应自定义警报结合InsightIDR和InsightConnect的功能。当这些Rapid7 Insight产品一起工作时,您可以创建工作流,在每次触发自定义警报规则时自动启动环境中的预定义操作(或多个操作)。例如,您可以配置工作流在达到警报阈值时向Slack通道发送通知,或者在有人登录VPN违反公司政策时向安全团队发送邮件通知。

要使用自定义警报规则的自动化,您必须具有InsightConnect的有效许可证,并在您的环境中安装协调器。如果您目前不使用InsightConnect,但希望利用这一功能,请与您的客户顾问交谈,他们将帮助您开始。

先决条件检查表

  • 有效的InsightIDR或Managed Detection & Response Services license
  • 有效的InsightConnect license
  • 洞察协调器安装在您的网络上

自定义警报监视超出了Rapid7托管服务的范围

如果您是具有有效InsightConnect许可证的MDR客户,您可以利用InsightIDR自定义警报触发器,但是MDR团队将不会监控、分类或响应自定义警报识别的事件或威胁。

它是如何工作的

每当事件匹配指定的条件时,如日志模式.您的自定义警报数据被传递给InsightIDR自定义警报触发器,这是一个预构建的API触发器,包含将自定义警报数据发送到InsightConnect所需的所有字段,不需要额外的配置。InsightConnect使用InsightIDR自定义警报触发器监听警报检测到的行为。当自定义警报识别出威胁时,触发器将该数据发送到您的工作流,从而启动与工作流相关的任何预定义操作。

如何访问InsightIDR触发器?

InsightIDR自定义警报触发器位于InsightConnect中,可以从API触发器配置详细信息面板中访问。InsightIDR触发器默认提供给任何具备必备条件的客户。只有当您拥有InsightConnect和InsightIDR或MDR的有效许可证时,它才会显示。

开始

要设置这个,首先需要使用InsightIDR自定义警报触发器在InsightConnect中创建一个新的工作流。然后将工作流添加到InsightIDR中的自定义警报中。

  1. 在InsightConnect中创建一个新的工作流
  2. 在InsightIDR中创建或编辑自定义警报
  3. 管理自定义警报

要使用自定义警报触发自动操作,必须在InsightConnect中创建一个使用InsightIDR自定义警报触发器的工作流。

JSON与Syslog格式的日志

如果JSON格式的日志触发了自定义警报,链接的InsightConnect工作流将自动显示该日志行中的所有字段。如果日志行是非结构化的(例如原始syslog),则只有event.entry字段将自动显示。要传递非结构化日志行中任何其他字段的数据,必须手动将这些字段添加到工作流中。

在InsightConnect中创建一个新的工作流

在本节中,您将使用InsightIDR自定义警报触发器创建一个工作流,然后根据您的用例配置其他工作流步骤。

您的工作流必须使用InsightIDR自定义警报触发器

只有具有“InsightIDR自定义警报”触发器类型的工作流才能链接到InsightIDR自定义警报。

步骤1:添加一个新的工作流

  1. 从InsightConnect左侧菜单中,单击workflow并选择其中之一活跃的草案.您可以从任何一个页面添加工作流。
  2. 点击添加工作流
  3. 点击从头开始.将出现“创建新工作流”面板。
    • 输入唯一且易于识别的工作流名称。在后面的步骤中,您将在InsightIDR中输入这个工作流名称。
    • 输入工作流描述,并可选地添加标签。
    • 输入您认为手动完成这项任务需要多少时间。
    • 点击创建.这时将出现“选择一个触发器”面板。
  4. 在From Insighdota2必威联赛t Platform部分,单击InsightIDR自定义警报触发器,然后单击继续自定义警报和InsightConnect
    • 输入触发器的名称,例如自定义警报触发,滚动到面板的底部。(其他字段预先配置为包含关于自定义警报和InsightIDR中的日志的详细信息,例如名称和ID,以及导致自定义警报运行的特定日志行信息。)
    • 点击保存步骤
  5. 在“如何”面板中,查看将工作流添加到InsightIDR的指导。我们还将在后面的一节中介绍这些步骤。
  6. 点击关闭退出面板。

步骤2:向您的工作流程中添加一个步骤

InsightConnect工作流步骤允许您定义想要自动化的操作和任务。例如,如果您想在达到自定义警报阈值时接收Slack通知,您可以使用ChatOps一步.有关工作流步骤的详细信息,请参见工作流步骤在InsightConnect文档中。

自定义警报数据包含原始syslog

如果您的日志行格式化为JSON, InsightConnect将自动填充您的自定义警报字段。如果您的数据包含原始syslog, InsightConnect将填充event.entry字段,但必须手动添加destination_user和任何您想要发送的其他字段。

要添加工作流步骤:

  1. 在工作流触发器下,单击+自定义警报和InsightConnect
  2. 选择工作流步骤类型。
  3. 为步骤输入名称。
  4. 类型,保持默认值。
  5. 在“输出格式”下选择+.在接下来的几个步骤中,您将标识要传递给InsightConnect的自定义警报中的字段。自定义警报和InsightConnect
  6. 查找并选择触发事件。entry变量。这表示导致警报运行的日志行,并且是必需的。自定义警报和InsightConnect
  7. 在“输出格式”下选择+
  8. 查找并添加自定义警报中与特定字段对应的任何其他变量。如果您的数据包含原始syslog, InsightConnect将填充event.entry字段,但必须手动添加destination_user和任何您想要发送的其他字段。destination_user字段的格式为:{{["Demo"].[event].[entryObject].[destination_user]}}自定义警报和InsightConnect
  9. 点击预览,并检查您选择的变量。自定义警报和InsightConnect
  10. 点击保存步骤
  11. 添加您需要的任何其他工作流步骤。

步骤3:激活工作流

一旦添加了所有的工作流步骤,单击激活在工作流构建器的右上角。

在InsightIDR中创建或编辑自定义警报

将您的自定义警报链接到InsightConnect工作流的最后一步是从自定义警报的通知部分选择您的工作流。

  1. 从InsightIDR左侧菜单中单击设置
  2. 点击提醒设置,然后单击自定义警报选项卡。
  3. 要将工作流链接到新的或现有的警报,请执行以下操作之一:
    • 新的自定义警报:单击添加提醒
    • 现有自定义警报:选择您想要链接的警报,并跳过此过程的步骤5。
  4. 对于新警报,请执行以下操作:
    • 输入告警名称和描述,然后单击下一个
    • 选择您想要用作警报基础的日志,然后单击next。
    • 选择一个触发器。
    • 点击下一个
  5. 在Alert Notifications部分中,单击InsightConnect工作流选项卡。自定义警报和InsightConnect
  6. 选择要链接的工作流。您可以选择先前已与自定义警报关联的InsightConnect工作流,或先前未链接的工作流。

自定义警报和InsightConnect7.如果您选择一个以前没有链接的新工作流,您还将看到所有可用工作流的列表。自定义警报和InsightConnect8.选择工作流后,它将出现在输入字段上方。

如果工作流处于非活动状态或处于草稿状态,则将在工作流名称后添加标签。具有这些状态的工作流在被激活之前不会运行。

自定义警报和InsightConnect9.保存自定义警报。当事件生成自定义警报时,InsightConnect中的工作流将被触发。

这是InsightConnect中的一个工件示例,显示了作为自定义警报的一部分发送的一些字段:

自定义警报和InsightConnect

管理自定义警报

您可以查看关联警报收件人、与警报关联的工作流以及工作流是否已取消激活或删除。

查看自定义警报收件人

  1. 自定义警报屏幕上,单击标签和通知链接在页面顶部。自定义警报和InsightConnect
  2. 在“标签和通知”管理页面中,单击“通知目标”选项卡,查看已为自定义警报配置的所有收件人。自定义警报和InsightConnect

视图关联的工作流

您可以从“标签和通知”管理页面的“通知目标”选项卡中查看与自定义警报关联的所有工作流。单击InsightConnect工作流按钮。自定义警报和InsightConnect您将看到已关联的工作流的列表。自定义警报和InsightConnect

取消激活或删除工作流

如果工作流已被禁用或删除,您将看到显示以下横幅:自定义警报和InsightConnect