自定义警报和InsightConnect工作流
您可以自动化您的团队对威胁的响应自定义警报结合InsightIDR和InsightConnect的功能。当这些Rapid7 Insight产品一起工作时,您可以创建工作流,在每次触发自定义警报规则时自动启动环境中的预定义操作(或多个操作)。例如,您可以配置工作流在达到警报阈值时向Slack通道发送通知,或者在有人登录VPN违反公司政策时向安全团队发送邮件通知。
要使用自定义警报规则的自动化,您必须具有InsightConnect的有效许可证,并在您的环境中安装协调器。如果您目前不使用InsightConnect,但希望利用这一功能,请与您的客户顾问交谈,他们将帮助您开始。
先决条件检查表
- 有效的InsightIDR或Managed Detection & Response Services license
- 有效的InsightConnect license
- 洞察协调器安装在您的网络上
自定义警报监视超出了Rapid7托管服务的范围
如果您是具有有效InsightConnect许可证的MDR客户,您可以利用InsightIDR自定义警报触发器,但是MDR团队将不会监控、分类或响应自定义警报识别的事件或威胁。
它是如何工作的
每当事件匹配指定的条件时,如日志模式.您的自定义警报数据被传递给InsightIDR自定义警报触发器,这是一个预构建的API触发器,包含将自定义警报数据发送到InsightConnect所需的所有字段,不需要额外的配置。InsightConnect使用InsightIDR自定义警报触发器监听警报检测到的行为。当自定义警报识别出威胁时,触发器将该数据发送到您的工作流,从而启动与工作流相关的任何预定义操作。
如何访问InsightIDR触发器?
InsightIDR自定义警报触发器位于InsightConnect中,可以从API触发器配置详细信息面板中访问。InsightIDR触发器默认提供给任何具备必备条件的客户。只有当您拥有InsightConnect和InsightIDR或MDR的有效许可证时,它才会显示。
开始
要设置这个,首先需要使用InsightIDR自定义警报触发器在InsightConnect中创建一个新的工作流。然后将工作流添加到InsightIDR中的自定义警报中。
如何链接一个自定义警报与InsightConnect工作流
要使用自定义警报触发自动操作,必须在InsightConnect中创建一个使用InsightIDR自定义警报触发器的工作流。
JSON与Syslog格式的日志
如果JSON格式的日志触发了自定义警报,链接的InsightConnect工作流将自动显示该日志行中的所有字段。如果日志行是非结构化的(例如原始syslog),则只有event.entry字段将自动显示。要传递非结构化日志行中任何其他字段的数据,必须手动将这些字段添加到工作流中。
在InsightConnect中创建一个新的工作流
在本节中,您将使用InsightIDR自定义警报触发器创建一个工作流,然后根据您的用例配置其他工作流步骤。
您的工作流必须使用InsightIDR自定义警报触发器
只有具有“InsightIDR自定义警报”触发器类型的工作流才能链接到InsightIDR自定义警报。
步骤1:添加一个新的工作流
- 从InsightConnect左侧菜单中,单击workflow并选择其中之一活跃的或草案.您可以从任何一个页面添加工作流。
- 点击添加工作流.
- 点击从头开始.将出现“创建新工作流”面板。
- 输入唯一且易于识别的工作流名称。在后面的步骤中,您将在InsightIDR中输入这个工作流名称。
- 输入工作流描述,并可选地添加标签。
- 输入您认为手动完成这项任务需要多少时间。
- 点击创建.这时将出现“选择一个触发器”面板。
- 在From Insighdota2必威联赛t Platform部分,单击InsightIDR自定义警报触发器,然后单击继续..
- 输入触发器的名称,例如自定义警报触发,滚动到面板的底部。(其他字段预先配置为包含关于自定义警报和InsightIDR中的日志的详细信息,例如名称和ID,以及导致自定义警报运行的特定日志行信息。)
- 点击保存步骤.
- 在“如何”面板中,查看将工作流添加到InsightIDR的指导。我们还将在后面的一节中介绍这些步骤。
- 点击关闭退出面板。
步骤2:向您的工作流程中添加一个步骤
InsightConnect工作流步骤允许您定义想要自动化的操作和任务。例如,如果您想在达到自定义警报阈值时接收Slack通知,您可以使用ChatOps一步.有关工作流步骤的详细信息,请参见工作流步骤在InsightConnect文档中。
自定义警报数据包含原始syslog
如果您的日志行格式化为JSON, InsightConnect将自动填充您的自定义警报字段。如果您的数据包含原始syslog, InsightConnect将填充event.entry字段,但必须手动添加destination_user和任何您想要发送的其他字段。
要添加工作流步骤:
- 在工作流触发器下,单击+.
- 选择工作流步骤类型。
- 为步骤输入名称。
- 下类型,保持默认值。
- 在“输出格式”下选择+.在接下来的几个步骤中,您将标识要传递给InsightConnect的自定义警报中的字段。
- 查找并选择触发事件。entry变量。这表示导致警报运行的日志行,并且是必需的。
- 在“输出格式”下选择+.
- 查找并添加自定义警报中与特定字段对应的任何其他变量。如果您的数据包含原始syslog, InsightConnect将填充event.entry字段,但必须手动添加destination_user和任何您想要发送的其他字段。destination_user字段的格式为:{{["Demo"].[event].[entryObject].[destination_user]}}
- 点击预览,并检查您选择的变量。
- 点击保存步骤.
- 添加您需要的任何其他工作流步骤。
步骤3:激活工作流
一旦添加了所有的工作流步骤,单击激活在工作流构建器的右上角。
在InsightIDR中创建或编辑自定义警报
将您的自定义警报链接到InsightConnect工作流的最后一步是从自定义警报的通知部分选择您的工作流。
- 从InsightIDR左侧菜单中单击设置.
- 点击提醒设置,然后单击自定义警报选项卡。
- 要将工作流链接到新的或现有的警报,请执行以下操作之一:
- 新的自定义警报:单击添加提醒.
- 现有自定义警报:选择您想要链接的警报,并跳过此过程的步骤5。
- 对于新警报,请执行以下操作:
- 输入告警名称和描述,然后单击下一个.
- 选择您想要用作警报基础的日志,然后单击next。
- 选择一个触发器。
- 点击下一个.
- 在Alert Notifications部分中,单击InsightConnect工作流选项卡。
- 选择要链接的工作流。您可以选择先前已与自定义警报关联的InsightConnect工作流,或先前未链接的工作流。
7.如果您选择一个以前没有链接的新工作流,您还将看到所有可用工作流的列表。8.选择工作流后,它将出现在输入字段上方。
如果工作流处于非活动状态或处于草稿状态,则将在工作流名称后添加标签。具有这些状态的工作流在被激活之前不会运行。
9.保存自定义警报。当事件生成自定义警报时,InsightConnect中的工作流将被触发。
这是InsightConnect中的一个工件示例,显示了作为自定义警报的一部分发送的一些字段:
管理自定义警报
您可以查看关联警报收件人、与警报关联的工作流以及工作流是否已取消激活或删除。
查看自定义警报收件人
视图关联的工作流
您可以从“标签和通知”管理页面的“通知目标”选项卡中查看与自定义警报关联的所有工作流。单击InsightConnect工作流按钮。您将看到已关联的工作流的列表。