自定义警报和InsightConnect工作流

您可以自动化您的团队对威胁的响应自定义警报使用InsightIDR和InsightConnect的组合功能。当这些Rapid7 Insight产品协同工作时,您可以创建工作流,以便在每次触发自定义警报规则时自动在您的环境中启动预定义操作。例如,您可以将工作流配置为在达到警报阈值时向空闲通道发布通知,或者在登录VPN的人违反公司策略时向安全团队发送电子邮件通知。

要使用自定义警报规则的自动化,您必须具有InsightConnect的有效许可证,并在您的环境中安装协调器。如果您目前不使用InsightConnect,但希望利用这一功能,请与您的客户顾问交谈,他们将帮助您开始。

先决条件检查表

  • 有效的InsightIDR或Managed Detection & Response Services license
  • 有效的InsightConnect license
  • 网络上安装的Insight Orchestrator

自定义警报监视超出了Rapid7托管服务的范围

如果您是拥有有效InsightConnect许可证的MDR客户,您可以利用InsightIDR自定义警报触发器,但是MDR团队不会监视、分类或响应自定义警报识别的事件或威胁。

工作原理

每当事件符合指定条件时,InsightIDR中将生成自定义警报,例如日志模式. 自定义警报数据将传递到InsightIDR自定义警报触发器,该触发器是一个预构建的API触发器,包含将自定义警报数据发送到InsightConnect所需的所有字段,无需其他配置。InsightConnect使用InsightIDR自定义警报触发器侦听警报检测到的行为。当自定义警报识别威胁时,触发器会将该数据发送到您的工作流,从而启动与工作流关联的任何预定义操作。

如何访问InsightIDR触发器?

InsightIDR自定义警报触发器位于InsightConnect中,可以从API触发器配置详细信息面板中访问。InsightIDR触发器默认提供给任何具备必备条件的客户。只有当您拥有InsightConnect和InsightIDR或MDR的有效许可证时,它才会显示。

开始

要设置这个,首先需要使用InsightIDR自定义警报触发器在InsightConnect中创建一个新的工作流。然后将工作流添加到InsightIDR中的自定义警报中。

  1. 在InsightConnect中创建新工作流
  2. 在InsightIDR中创建或编辑自定义警报
  3. 管理自定义警报

要使用自定义警报触发自动操作,必须在InsightConnect中创建一个使用InsightIDR自定义警报触发器的工作流。

JSON与Syslog格式的日志

如果自定义警报由JSON格式的日志触发,链接的InsightConnect工作流将自动显示该日志行中的所有字段。如果日志行是非结构化的(例如原始syslog),则只有事件条目字段将自动显示。要传递非结构化日志行中任何其他字段的数据,必须手动将这些字段添加到工作流中。

在InsightConnect中创建新工作流

在本节中,您将使用InsightIDR自定义警报触发器创建工作流,然后根据您的用例配置其他工作流步骤。

您的工作流必须使用InsightIDR自定义警报触发器

只有具有“InsightIDR自定义警报”触发类型的工作流才能链接到InsightIDR自定义警报。

步骤1:添加新工作流

  1. 从InsightConnect左侧菜单中,单击工作流并选择活跃的草稿. 您可以从任一页面添加工作流。
  2. 点击添加工作流
  3. 点击从头开始.将出现“创建新工作流”面板。
    • 输入唯一且易于识别的工作流名称。在后面的步骤中,您将在InsightIDR中输入此工作流名称。
    • 输入工作流描述,并可以选择添加标记以进行标记。
    • 输入手动完成此任务所需的时间。
    • 点击创建.这时将出现“选择一个触发器”面板。
  4. 在From Insighdota2必威联赛t Platform部分,单击InsightIDR自定义警报触发器,然后单击持续自定义警报和InsightConnect
    • 输入触发器的名称,例如自定义警报触发,然后滚动至面板底部。(其他字段预配置为包含有关自定义警报和登录InsightIDR的详细信息,例如名称和ID,以及有关导致运行自定义警报的特定日志行的信息。)
    • 点击保存步骤
  5. 在“操作方法”面板中,查看有关将工作流添加到InsightIDR的指南。我们还将在后面的部分中介绍这些步骤。
  6. 点击退出面板。

步骤2:向工作流中添加步骤

InsightConnect工作流步骤允许您定义想要自动化的操作和任务。例如,如果您想在达到自定义警报阈值时接收Slack通知,您可以使用ChatOps一步.有关工作流步骤的详细信息,请参见工作流程步骤在InsightConnect文档中。

包含原始系统日志的自定义警报数据

如果日志行格式为JSON,InsightConnect将自动填充自定义警报字段。如果数据包含原始系统日志,InsightConnect将填充事件条目字段,但必须手动添加destination_user和任何您想要发送的其他字段。

要添加工作流步骤,请执行以下操作:

  1. 在工作流触发器下,单击+自定义警报和InsightConnect
  2. 选择工作流步骤类型。
  3. 为步骤输入名称。
  4. 在下面类型,保持默认值。
  5. 在“输出格式”下选择+.在接下来的几个步骤中,您将标识要传递给InsightConnect的自定义警报中的字段。自定义警报和InsightConnect
  6. 查找并选择自定义警报触发器event.entry变量。这表示导致警报运行的日志行,并且是必需的。自定义警报和InsightConnect
  7. 在“输出格式”下,选择+
  8. 查找并添加自定义警报中与特定字段对应的任何其他变量。如果您的数据包含原始syslog, InsightConnect将填充事件条目字段,但必须手动添加destination_user和任何您想要发送的其他字段。destination_user字段的格式为:{{["Demo"].[event].[entryObject].[destination_user]}}自定义警报和InsightConnect
  9. 点击预览,并查看您选择的变量。自定义警报和InsightConnect
  10. 点击保存步骤
  11. 添加您需要的任何其他工作流步骤。

步骤3:激活工作流

一旦添加了所有的工作流步骤,单击使活动在工作流构建器的右上角。

在InsightIDR中创建或编辑自定义警报

将您的自定义警报链接到InsightConnect工作流的最后一步是从自定义警报的通知部分选择您的工作流。

  1. 从InsightIDR左侧菜单中单击设置
  2. 点击警报设置,然后单击自定义警报标签。
  3. 要将工作流链接到新的或现有的警报,请执行以下操作之一:
    • 新建自定义警报:单击添加提醒
    • 现有自定义警报:选择您想要链接的警报,并跳过此过程的步骤5。
  4. 对于新警报,请执行以下操作:
    • 输入警报名称和说明,然后单击下一个
    • 选择要用作警报基础的日志,然后单击下一步。
    • 选择一个触发器。
    • 点击下一个
  5. 在警报通知部分,单击InsightConnect工作流标签。自定义警报和InsightConnect
  6. 选择要链接的工作流。您可以选择先前已与自定义警报关联的InsightConnect工作流,或先前未链接的工作流。

自定义警报和InsightConnect7.如果您选择一个以前没有链接的新工作流,您还将看到所有可用工作流的列表。自定义警报和InsightConnect8.选择工作流后,它将显示在输入字段上方。

如果工作流处于非活动状态或处于草稿状态,则会在工作流名称后附加一个标签。具有这些状态的工作流只有在激活后才会运行。

自定义警报和InsightConnect9.保存自定义警报。当事件生成自定义警报时,InsightConnect中的工作流将被触发。

这是InsightConnect中的工件示例,显示了作为自定义警报一部分发送的一些字段:

自定义警报和InsightConnect

管理自定义警报

您可以查看关联警报收件人、与警报关联的工作流以及工作流是否已取消激活或删除。

查看自定义警报收件人

  1. 自定义警报屏幕上,单击标签和通知链接在页面顶部。自定义警报和InsightConnect
  2. 在“标签和通知管理”页面中,单击“通知目标”选项卡以查看为自定义警报配置的所有收件人。自定义警报和InsightConnect

查看关联的工作流

您可以从“标签和通知”管理页面的“通知目标”选项卡中查看与自定义警报关联的所有工作流。单击InsightConnect工作流按钮。自定义警报和InsightConnect您将看到已关联的工作流的列表。自定义警报和InsightConnect

已停用或删除的工作流

如果工作流已停用或删除,您将看到显示以下横幅:自定义警报和InsightConnect