从自动化开始
自动化允许您减少必须执行的手动安全任务的数量。为了有效地简化您的安全流程,您可以[利用InsightIDR中的自动化特性]。这些特性允许你自动化任务,如遏制威胁有可疑活动时通知你的团队,还有跟踪调查的进展.
要帮助您开始使用InsightIDR中的自动化,您需要完成以下任务:
任务1:安装并激活Insight Orchestrator
为了将InsightIDR连接到您的环境中使用的产品、服务和工具,您需要设置并激活Insight Orchestrator。Insight Orchestrator是安装在您的网络上的一个组件,它为InsightIDR提供自动化安全流程所需的访问权限。如果您想利用InsightIDR中的自动化特性,您必须有一个协调器。
准备好开始了吗?
了解如何设置和激活Insight Orchestrator.
任务2:向第三方工具添加连接
InsightIDR包括几个为第三方工具构建的开箱即用的工作流模板,您可以利用它们来满足您的安全需求。为了使用这些模板,您需要设置Automation Connections。连接包含凭据和所需的参数,例如InsightIDR需要访问并向第三方工具进行身份验证的应用程序URL。
开箱即用的工作流目前支持以下第三方集成:
- 活动目录
- Cb的反应
- 吉拉
- 奥克塔
- ServiceNow
想要自动创建JIRA或ServiceNow票,当有不寻常的活动一个受限制的资产?您需要添加一个连接。
任务3:激活工作流模板
您可以使用现成的工作流模板来设置工作流,这些工作流执行隔离资产、从调查中挂起用户帐户以及创建JIRA票据等操作。这些工作流基于工作流模板。这些模板是没有配置连接的工作流,当您需要使用不同的连接重用工作流步骤时,它们非常方便。
当你的调查中有一些事情需要你采取行动时,你就可以开始工作流程了。需要禁用正在访问受限资产的用户?您可以使用Okta工作流挂起用户。
你的人脉都建立好了吗?
任务4:使用工作流执行操作
现在,您已经设置了orchestrator、添加了连接并激活了一些工作流模板,您的工作流就可以使用了。您可以使用InsightIDR中的可用操作和工作流直接从调查中自动化某些任务。
准备好启动工作流了吗?