最后更新于2020年7月17日星期五格林尼治标准时间13:02:00
Today, 越来越多的安全团队依靠像Slack和Microsoft teams这样的聊天和协作工具来快速有效地沟通,以确保他们的组织安全.
日复一日, 安全分析人员正在使用他们的工作站甚至手机上的应用程序检查信息,以沟通最新的威胁, alerts, 还有需要打补丁的机器. 虽然团队之间的沟通正在改善, 由于太多不同的工具发出太多警报而面临的挑战仍然存在. 警报和主机疲劳是真实存在的, 这种再熟悉不过的组合减少了安全团队的注意力,增加了应对威胁所需的时间,从而降低了安全团队的效率.
With Rapid7的安全编排和自动化(SOAR)工具InsightConnect, 您可以针对警报采取行动, threats, 和脆弱的主机直接从您现有的通信工具, 增加可见性和节省时间,这样您就可以完成更多的工作,并专注于重要的事情.
早期的安全操作来自聊天
In 2011, 我是一名安全工程师,在一个前瞻性的研究环境中建立了聊天操作,作为响应网络上发生的事件的一种方式. 那是在“SOAR”这个词出现之前. 这也是Slack和微软团队等现代聊天工具出现之前的一个时期.
我们使用自己托管的加密内部IRC服务器,并编写自定义API服务和聊天机器人代码来集成我们的工具. 我记得我和一个同事一起为Nagios开发了一个基于rest的API,这样我们就可以从聊天中安排主机停机时间. 我们还为黑洞路由器构建了一个API服务, 这使得我们能够在外围封锁我们网络中的DoS主机, 都直接来自聊天.
把所有东西连接起来需要时间,但一旦我们这样做了,就非常有效了. 我们的团队能够更快地做出反应,因为频道里的每个人都知道即将到来的威胁, 更重要的是, 正在采取的补救措施. 我们步调一致,组成了一个统一的防御战线.
幸运的是,现在有更多的产品支持api. Rapid7的InsightConnect. 我们的安全编排和自动化产品具有内置功能,允许您创建无需代码的聊天机器人. 让我们在下一节中看看这是什么样子的.
由InsightConnect提供支持的现代安全操作
我们将从Slack引发的安全调查开始. 该指示符可以来自任何地方,例如网络或主机日志(例如.g., insight tidr, Rapid7的SIEM解决方案)、网络钓鱼邮件或威胁情报来源.
However, 在这个插图中, 有人冒充劳伦在公司的Slack频道中分享了一个注册链接. Jadon, 安全小组的分析员, 对该消息持怀疑态度,并迅速发出聊天命令以了解有关该威胁的更多信息.
让我们仔细看看由InsightConnect生成的每个会话线程. 首先,Jadon尝试解缩URL以获得实际的域. 使用unshorten插件,InsightConnect返回看起来像是一个拼写错误的域名.
域名看起来不太好,所以接下来我们要和威胁情报来源进行比对. 该公司订购了VirusTotal,所以他们使用 VirusTotal插件 它返回5个阳性的反病毒匹配. Jadon现在非常确信这个链接是一个威胁,需要被封锁.
知道这个来源会造成进一步的伤害, Jadon通过发出命令阻止URL,立即在网关处阻止它.
如果你看一下时间戳, 调查在Jadon得知消息后的两分钟内完成. 现在,想象一下分析师跳过许多不同的工具来完成这些任务. 此外,想象一下需要在一天内解决10个、50个甚至100个威胁. 我们都可以更聪明地工作, not harder, 通过向我们的团队提供他们应对威胁所需的信息和背景——就在他们每天使用的工具中.
这个例子只是让你现有的工具更有效的一个例子. 这个工作流也可以是完全自动化的,或者有一个人工干预组件,它会向聊天工具发送请求阻止主机或修补系统的权限. 我们的工作流构建器允许您创建与组织的安全流程保持一致的自动化.
提高您的运营效率
InsightConnect现在有超过80个预先构建的工作流模板 微软团队 or Slack,以及最流行的安全和IT解决方案. 通过使用这些聊天驱动的工作流自动化任务, 您的团队可以改善协作, 加速决策过程, 提高调查效率, 应对, 补救事故. 无需在用户界面之间切换, 您将节省宝贵的时间,而不会牺牲可见性.
查看我们的工具包,了解我们如何与流行的安全供应商集成:
