SOC自动化与insighttidr和InsightConnect:三个关键用例探索，以优化您的安全运营

最后更新于2021年3月22日(星期一)15:07:13 GMT

你可能已经知道SOC自动化 InsightIDR and InsightConnect 可以减少你的# metimetoresponse. 自动化安全操作将增强团队的技能和专业知识，从而以超快的速度检测和响应威胁，这一点可能并不奇怪. 您甚至可以期望自动化将为您的团队带来巨大的胜利, 比如提高生产力, 工作满意度, 以及巨大的投资回报.

您可能认为您可以通过自动化将安全操作提升到一个新的水平, 但你可能不知道从哪里开始. 这没关系! 通往自动化的道路有很多，没有两条道路是相同的. 所以在这篇博文中, 我们将概述一些最受欢迎和最具创新性的经验，以在自动化领域获得一些快速的成功. 无论这是您第一次登录InsightConnect，还是您已经浏览了我们所有的欢迎资源, 我们有一些选择让你继续前进.

Brand new? 尝试“发现”体验.

如果你是InsightConnect的用户并且订阅了insighttidr或者 InsightVM, 我们推荐的第一件事就是查看他们InsightConnect主页上的“发现”选项卡. 在这里，您将找到一些简单而有用的工作流程来帮助您启动和运行 自动化威胁检测和响应. 工作流是Rapid7体验的面包和黄油, 你越早动手, 你就能越早获得主要的投资回报率. 试试下面这些简单的方法，你就能最快地获得成功.

你好IDR警报

这就是我们所说的“零部署”工作流——它非常简单! 它显示了可以从IDR调查传递到InsightConnect工作流的所有不同数据点. 为了使用这个工作流, 只需导入即可, 激活它, 在insight tidr中展开调查, 点击蓝色的“采取行动”按钮, 然后选择最后一个选项:“自定义InsightConnect工作流”.从下拉菜单中选择“你好IDR警报”工作流. 选择任意/所有用户, Assets, 和/或国际奥委会(根据调查中的参与者和指标，您可能有不同的选择). Finally, 单击“采取行动”按钮查看传递到InsightConnect工作流的摘要!

Now, 请记住，这个工作流实际上并没有“做”任何事情—它只是将IDR警报的详细信息打印到 Artifact card. However, 它将帮助任何用户谁可能会继续建立自己的工作流程，提供一个想法的所有不同的变量可用于InsightConnect与此特定的 警报触发.

既不拥有insighttidr也不拥有InsightVM的InsightConnect用户将没有这些工作流建议. 对于这些用户，我们建议查看 Rapid7扩展库-工具箱工作流是产品无关的，所以不管你使用什么平台，它们都可以工作.

用威胁人群的威胁情报充实哈希

这个工作流接受一个输入散列，并在 威胁的人群，一个免费的威胁情报服务. 它很容易使用，可以提供一些真正的价值，几乎没有努力. 请注意，使用API触发器和启用云的插件，此工作流还需要 零部署!

这有多容易?? 简单地导入工作流, 导入威胁人群插件, 将插件设置为在云上运行, 并在InsightConnect中激活工作流! 不需要额外的设置.

利用来自VirusTotal的威胁情报丰富insightdr警报

这个工作流是我们发现无数insighttidr用户自己构建的. 它确实需要 协调器 和一个VirusTotal API密钥，所以这是一个进步. 但别担心——学习曲线很短. 我们强烈建议您尝试一下, 专门介绍协调器和更高级、更强大的工作流自动化.

First, 注册一个免费的VirusTotal帐户 并记下您的API令牌. 然后，导航回InsightConnect以导入工作流. 创建与VirusTotal的连接，并激活它. 然后可以像运行你好IDR警报工作流一样运行该工作流, 从insighttidr的“采取行动”菜单中.

还可以设置此工作流，使其在触发某些警报时自动运行 警报触发 在InsightIDR.

额外学分:开始使用InsightVM

如果您是InsightConnect订阅者和InsightVM订阅者, 有一些关键的工作流程，你应该深入研究作为你的发现经验的一部分，以获得双方的联盟的感觉. 它们包括以下内容:

• 使用Rapid7漏洞数据库查找漏洞: 此工作流允许您查找漏洞以获得概述, 包括CVSS分数, 发布日期, 替代标识符, 一个描述, 和解决方案.
• 使用InsightVM获取资产详细信息和扫描资产: 该工作流使用API触发器根据InsightVM中的IP地址查找资产并扫描目标IP. 这种形式的临时扫描可以帮助快速识别和收集有关给定设备的漏洞数据.
• 在InsightVM中自动化漏洞异常管理: 该工作流通过批准低风险的异常请求，帮助InsightVM中的漏洞异常管理自动化, low-scope漏洞.

用户行为分析

传统的事件检测解决方案只对IP地址发出警报, 这使得追踪警报背后的用户和活动变得非常困难. 攻击者不仅通过恶意软件破坏资产, 而是通过在它们之间横向移动使用被流量操纵窃取的凭证, 散列提取, 还有其他技巧. insight tidr的用户行为分析(UBA) 提供检测入侵者危害所需的洞察力和上下文, 内部威胁, 还有危险行为.

So, 如果您是InsightConnect和insighttidr的订阅者，并且您希望获得您的第一个UBA胜利, 看看以下相关的工作流程:

• 禁用insighttidr UBA的Active Directory域用户 禁用受损的用户帐户可以限制攻击的范围，并为调查和控制威胁赢得宝贵的时间. 该工作流在insighttidr UBA上触发，以禁用具有Active Directory的域用户. 您可能使用它的uba示例包括收获凭据, 多国认证警报, 来自社区威胁的入侵, 账户泄露, 和蛮力-域帐户.
• 从insighttidr UBA警报中隔离带有洞察代理的资产: 隔离受损资产还可以限制攻击的范围，并为调查和遏制威胁赢得宝贵的时间. 此工作流在insighttidr UBA上触发，以使用Insight Agent隔离资产. 这个工作流程可以与Brute Force - Local Account一起使用, 标记的资产哈希值, 和资产上的标记进程警报.

要了解更多威胁检测和以响应为中心的工作流程，请查看我们的 网络钓鱼工具箱.

高级用例:自定义警报

当insighttidr附带的内置警报不适合您的需求时, 您可以选择创建自己的自定义警报. 如果你已经成功地驾驭了发现体验，并且熟练掌握了用户行为分析, 是时候进行下一个挑战了. 自定义警报是您SOC自动化旅程中的下一个重要里程碑，也是您迄今为止最大的胜利.

InsightConnect使用 insighttidr自定义警报触发器 监听警报检测到的行为. 当自定义警报识别威胁时, 触发器将该数据发送到您的工作流, 哪个启动与工作流关联的预定义操作. 例如，您可以将工作流配置为 向Slack频道发布通知 当达到警报阈值时, 或者在有人登录VPN违反公司政策时向你的安全团队发送电子邮件通知. 有三种自定义警报:

1. 不活动检测警报: 也被称为“上下监控”,“不活动警报可以用来通知你当整个日志, log group, 或者特定的模式在给定的时间段内变得不活跃. 非活动警报对于必须持续运行的系统资产(例如关键服务器)非常有用。. 设置不活动时间窗口的功能使您可以控制您的数据, 你的环境, 还有你的资产, 并允许损害控制和防止数据丢失.
2. 模式检测警报: 为了触发警报，日志必须与您作为搜索项输入的模式完全匹配. 模式警报在监视服务器错误等情况下非常有用, 关键的异常, 总体性能, 并且允许您只监视对您重要的事件.
3. 更改检测警报: 更改检测警报将在条件更改时通知您, 例如web访问日志中的HTTP 500错误. 它们基于应用于日志或日志集的计算。. 变更检测将帮助您在某些东西被破坏并且必须立即解决时保持在关键条件的顶端, 或发生必须升级的错误. 此警报将减少您调查和解决任何错误的时间.
   
   Rapid7’s 自定义警报文档 为每个警报提供深入的说明-允许您创建, modify, 并根据需要从他们的特殊能力中受益.