SOC自动化与insighttidr和InsightConnect:三个关键用例探索，以优化您的安全运营

最后更新于2021年3月22日(星期一)15:07:13 GMT

你可能已经知道SOC自动化 InsightIDR and InsightConnect can decrease your #MeanTimeToResponse. 自动化安全操作将增强团队的技能和专业知识，从而以超快的速度检测和响应威胁，这一点可能并不奇怪. 您甚至可以期望自动化将为您的团队带来巨大的胜利, such as increased productivity, job satisfaction, and huge returns on investment.

您可能认为您可以通过自动化将安全操作提升到一个新的水平, but you may not know where to start. And that’s okay! 通往自动化的道路有很多，没有两条道路是相同的. So in this blog post, 我们将概述一些最受欢迎和最具创新性的经验，以在自动化领域获得一些快速的成功. 无论这是您第一次登录InsightConnect，还是您已经浏览了我们所有的欢迎资源, 我们有一些选择让你继续前进.

Brand new? Try the “Discover” Experience.

如果你是InsightConnect的用户并且订阅了insighttidr或者 InsightVM, 我们推荐的第一件事就是查看他们InsightConnect主页上的“发现”选项卡. 在这里，您将找到一些简单而有用的工作流程来帮助您启动和运行 自动化威胁检测和响应. 工作流是Rapid7体验的面包和黄油, and the sooner you get your hands dirty, 你就能越早获得主要的投资回报率. 试试下面这些简单的方法，你就能最快地获得成功.

Hello IDR Alert

这就是我们所说的“零部署”工作流——它非常简单! 它显示了可以从IDR调查传递到InsightConnect工作流的所有不同数据点. In order to use this workflow, simply import it, activate it, open an investigation in InsightIDR, click on the blue “Take Action” button, 然后选择最后一个选项:“自定义InsightConnect工作流”.从下拉菜单中选择“Hello IDR Alert”工作流. Select any/all Users, Assets, 和/或国际奥委会(根据调查中的参与者和指标，您可能有不同的选择). Finally, 单击“采取行动”按钮查看传递到InsightConnect工作流的摘要!

Now, 请记住，这个工作流实际上并没有“做”任何事情—它只是将IDR警报的详细信息打印到 Artifact card. However, 它将帮助任何用户谁可能会继续建立自己的工作流程，提供一个想法的所有不同的变量可用于InsightConnect与此特定的 Alert Trigger.

既不拥有insighttidr也不拥有InsightVM的InsightConnect用户将没有这些工作流建议. 对于这些用户，我们建议查看 Rapid7 extension library-工具箱工作流是产品无关的，所以不管你使用什么平台，它们都可以工作.

用威胁人群的威胁情报充实哈希

这个工作流接受一个输入散列，并在 Threat Crowd, a free threat intelligence service. 它很容易使用，可以提供一些真正的价值，几乎没有努力. 请注意，使用API触发器和启用云的插件，此工作流还需要 zero deployment!

How easy is it? Simply import the workflow, import the Threat Crowd plugin, set the plugin to Run on Cloud, 并在InsightConnect中激活工作流! No additional setup is required.

利用来自VirusTotal的威胁情报丰富insightdr警报

这个工作流是我们发现无数insighttidr用户自己构建的. It does require an Orchestrator 和一个VirusTotal API密钥，所以这是一个进步. 但别担心——学习曲线很短. We highly recommend trying this out, 专门介绍Orchestrator和更高级、更强大的工作流自动化.

First, sign up for a free VirusTotal account and take note of your API token. 然后，导航回InsightConnect以导入工作流. 创建与VirusTotal的连接，并激活它. 然后可以像运行Hello IDR Alert工作流一样运行该工作流, 从insighttidr的“采取行动”菜单中.

还可以设置此工作流，使其在触发某些警报时自动运行 Alert Trigger in InsightIDR.

额外学分:开始使用InsightVM

如果您是InsightConnect订阅者和InsightVM订阅者, 有一些关键的工作流程，你应该深入研究作为你的发现经验的一部分，以获得双方的联盟的感觉. They include the following:

• 使用Rapid7漏洞数据库查找漏洞: 此工作流允许您查找漏洞以获得概述, including CVSS score, publish date, alternate identifiers, a description, and solutions.
• 使用InsightVM获取资产详细信息和扫描资产: 该工作流使用API触发器根据InsightVM中的IP地址查找资产并扫描目标IP. 这种形式的临时扫描可以帮助快速识别和收集有关给定设备的漏洞数据.
• 在InsightVM中自动化漏洞异常管理: 该工作流通过批准低风险的异常请求，帮助InsightVM中的漏洞异常管理自动化, low-scope vulnerabilities.

User Behavior Analytics

传统的事件检测解决方案只对IP地址发出警报, 这使得追踪警报背后的用户和活动变得非常困难. 攻击者不仅通过恶意软件破坏资产, 而是通过在它们之间横向移动使用被流量操纵窃取的凭证, hash extraction, and other techniques. insight tidr的用户行为分析(UBA) 提供检测入侵者危害所需的洞察力和上下文, insider threats, and risky behavior.

So, 如果您是InsightConnect和insighttidr的订阅者，并且您希望获得您的第一个UBA胜利, 看看以下相关的工作流程:

• 禁用insighttidr UBA的Active Directory域用户 禁用受损的用户帐户可以限制攻击的范围，并为调查和控制威胁赢得宝贵的时间. 该工作流在insighttidr UBA上触发，以禁用具有Active Directory的域用户. 您可能使用它的uba示例包括收获凭据, Multi-Country Authentication Alerts, Ingress From Community Threat, Account Leaked, and Brute Force - Domain Account.
• 从insighttidr UBA警报中隔离带有洞察代理的资产: 隔离受损资产还可以限制攻击的范围，并为调查和遏制威胁赢得宝贵的时间. 此工作流在insighttidr UBA上触发，以使用Insight Agent隔离资产. 这个工作流程可以与Brute Force - Local Account一起使用, Flagged Hash on Asset, and Flagged Process on Asset alerts.

要了解更多威胁检测和以响应为中心的工作流程，请查看我们的 Phishing Toolkit.

Advanced use-case: Custom alerts

当insighttidr附带的内置警报不适合您的需求时, 您可以选择创建自己的自定义警报. 如果你已经成功地驾驭了发现体验，并且熟练掌握了用户行为分析, it’s time for your next challenge. 自定义警报是您SOC自动化旅程中的下一个重要里程碑，也是您迄今为止最大的胜利.

InsightConnect uses the InsightIDR Custom Alert Trigger 监听警报检测到的行为. When a custom alert identifies a threat, 触发器将该数据发送到您的工作流, 哪个启动与工作流关联的预定义操作. 例如，您可以将工作流配置为 post notifications to a Slack channel when an alert threshold is reached, 或者在有人登录VPN违反公司政策时向你的安全团队发送电子邮件通知. There are three kinds of custom alerts:

1. Inactivity Detection Alerts: Also known as "Up Down Monitoring,“不活动警报可以用来通知你当整个日志, log group, 或者特定的模式在给定的时间段内变得不活跃. 非活动警报对于必须持续运行的系统资产(例如关键服务器)非常有用。. 设置不活动时间窗口的功能使您可以控制您的数据, your environment, and your assets, 并允许损害控制和防止数据丢失.
2. Pattern Detection Alerts: 为了触发警报，日志必须与您作为搜索项输入的模式完全匹配. 模式警报在监视服务器错误等情况下非常有用, critical exceptions, and general performance, 并且允许您只监视对您重要的事件.
3. Change Detection Alerts: 更改检测警报将在条件更改时通知您, 例如web访问日志中的HTTP 500错误. 它们基于应用于日志或日志集的计算。. 变更检测将帮助您在某些东西被破坏并且必须立即解决时保持在关键条件的顶端, 或发生必须升级的错误. 此警报将减少您调查和解决任何错误的时间.
   
   Rapid7’s Custom Alert documentation 为每个警报提供深入的说明-允许您创建, modify, 并根据需要从他们的特殊能力中受益.