开始SOC自动化:第1到15天
在您使用SOC Automation的前15天,您将学习如何将InsightIDR和InsightConnect与Insight Orchestrator和云插件一起工作来驱动工作流的基础知识。按照以下步骤开始:
在你开始之前
检查Ransomware工具包找到我们SoC自动化客户经常要求的推荐过程。我们建议您实现与您的环境相关的所有工作流程。大多数这些工作流程旨在为您的事件响应计划提供更大的操作效果,并且可以通过Slack或Microsoft团队扩展,以扩展您的计划在安全团队外的可见性。
Rapid7自动化
预计完成时间:30秒
- 从主页中,单击迅速采取行动按钮在右上角。快速操作不需要导入或管理协调器或工作流。
- 选择一个用例,并在您登录到Insight Platform时的任何时刻开始使用这些零部署用例!dota2必威联赛
- 了解更多的InsightConnect插件和工作流,您可以开始导入和自定义访问Rapid7扩展库与齿轮旁边的图标在您的insight平台的右上角(顶部的黑色条)。dota2必威联赛
利用InsightConnect预构建工作流
预计完成时间:1分钟
预构建的工作流允许您使用InsightConnect快速自动化常见任务。
- 登录InsightConnect。
- 导航到主页并切换切换指示板到发现视图在顶部。
- 下面威胁检测和响应的推荐工作流程将一个工作流模板命名为“你好IDR警戒”.选择导入模板的选项并查看工作流细节。
- 新闻激活在控制面板视图的右上角,以完成部署第一个工作流。
恭喜你!已成功将第一个工作流模板导入并部署到InsightConnect中
当您准备在您的安全程序中扩展您的自动化使用时,请使用InsightConnect Discover Experience查看更多的工作流建议!*
从调查中启动工作流
预计完成时间:5分钟
- 登录InsightIDR。
- 一旦你配置好你的基本事件源,点击调查在左侧导航栏中。
- 点击任何已经产生的调查的名称,一旦调查打开,点击采取行动按钮在右上角。
- 单击标题下拉菜单选择操作类别中,选择所有工作流和代理操作然后点击继续按钮。
- 单击标题下拉菜单选择一个自动化操作,然后单击隐藏所有部分的禁用工作流隐藏您无法在本次调查中使用的任何工作流。选择“你好IDR警戒”工作流,然后点击继续按钮。
- 如果有任何需要配置的细节,它们将显示在配置细节部分。否则,一条消息将声明“此特定操作没有可用的配置细节。”
- 单击采取行动按下按钮,你就会被带回去继续调查。
在Investigations页面上,一个弹出的横幅将显示“请求的工作流操作已开始处理。”我们会在行动结束后通知你。”一旦操作完成,一条消息将声明“请求的工作流活动已经完成”。
恭喜你!您已经从InsightIDR调查成功启动了一个工作流
设置Orchestrator和插件
预计完成时间:1小时
为了充分利用SOC自动化功能,您需要安装Insight Orchestrator、安装插件和设置插件连接。
安装并激活Insight Orchestrator
Insight Orchestrator是一个内部部件,使Insight平台从环境内部自动化服务,工具和其他RAIL7产品的电源。dota2必威联赛
了解有关Insight Orchestrators的更多信息,以及如何在Rapid7产品之间使用它,请访问“洞察协调器概述”部分的帮助文档。
为您的组织导入插件
InsightConnect支持超过300的插件有效地自动化安全流程。
要导入插件,请遵循下面的步骤使用插件.
如果你没有在我们的插件中找到你需要的工具,不要担心!在许多情况下,您的安全需求可以通过其他插件来解决,或者您可以通过讨论论坛请求新插件。
为每个插件设置连接
导入插件后,您需要为每个插件建立单独的连接,以认证InsightConnect到第三方工具和账户。每个插件可以有多个连接,以满足您的需求。
连接通常包括凭据(如API密钥或其他敏感信息)和参数(如IP地址或端口号)。
您还可以阅读有关云插件的介绍,在不需要Insight Orchestrator的情况下部署自动化。更多的云选项可以在扩展中找到:云使.
恭喜你!
您已经使用了预构建的工作流,从调查中启动了工作流,并设置了环境。接下来,创建警报和定义用例。