用Slack ChatOps触发工作流
InsightConnect ChatOps触发器允许您使用Slack消息运行工作流和创建工作。这使您的团队能够快速、轻松地执行安全任务,而无需离开Slack。
在InsightConnect中配置触发器之前,您首先需要为chatops配置Slack确保Slack和InsightConnect正确沟通。
这个怎么运作
ChatOps触发器监听首选聊天环境中的预定聊天行为。在Slack ChatOps中,您可以通过在消息中提到Rapid7 InsightConnect Slack应用程序的匹配参数或通过在指定的通道中提到应用程序来触发工作流。
使用Slack ChatOps触发工作流:
- 确保你的公司工作空间里有Rapid7 InsightConnect Slack应用程序
- 确保在InsightConnect中有可用的工作区
- 配置InsightConnect中的触发提到的匹配参数
- 键入邮件到slack匹配insightconnect中设置的配置
在InsightConnect中配置Slack ChatOps触发器
Chatops触发器略有不同于工作流程中的步骤。在触发工作流程之前,您需要为Slack应用程序配置不同的字段以侦听。
在新的工作流中设置一个Slack ChatOps触发器:
- 选择松弛的应用为触发器类型。你可以在“来自聊天应用”类别下找到它。
- 点击继续.
- 选择将数据发送到ChatOps触发器的Slack工作区,或添加一个新的Slack工作区。点击继续.
- 选择新消息行动,然后单击继续.
- 命名触发器并添加可选的描述。
- 将触发输入字段配置为下表中的规范。点击继续.
输入字段 |
配置规范 |
|---|---|
匹配频道 |
输入通道名称或正则表达式(省略 |
匹配文本 |
输入一个正则表达式,您希望聊天机器人在Slack频道中提到时触发它。 |
类型 |
从以下其中一个选择: |
现在,您可以向工作流添加步骤。
触发松弛的工作流程
要触发Slack的工作流程,请通过键入提及Rapid7 Slack应用程序@Rapid7 InsightConnect进入一条消息。
Slack的触发配置
您可以限制将触发工作流程的松弛内容。您配置的字段越多,触发条件的限制就越多,它将阻止InsightConnect创建意外作业。
没有配置匹配字段
如果您未在“匹配通道”或“匹配文本”字段中设置任何内容,则Slack Bot将在工作区中提及每个“@ Rapid7 InsightConnect”时触发您的工作流程。
仅匹配频道
工作流程只会执行何时执行@Rapid7 InsightConnect是在您配置触发器时在“匹配通道”字段中输入的通道中提到的。在其他通道中提及不会触发此工作流。
仅匹配文本
工作流程只会执行何时执行@Rapid7 InsightConnect在配置触发器时,您在“Match Text”字段中输入的正则表达式模式中提到了。包含其他文本模式的内容不会触发此工作流。
例如,如果为字符串配置了“Match Text”字段请把这篇课文配起来!,以下松弛消息将正确触发工作流程。
如果你输入下面的Slack消息,工作流将不会执行。
匹配频道和配置的匹配文本
配置两个匹配字段进一步限制了触发条件。拨打电话@Rapid7 InsightConnect必须在指定的通道中发送,并包含匹配文本模式。只满足其中一个需求的消息将不会触发此工作流。
自动从聊天消息中提取指标
我们的聊天机器人自动提取命令和公共网络或安全指标从您的ChatOps消息。您可以使用这些变量来配置额外的工作流操作,而无需自己手动解析该信息。
您的每一个聊天消息都遵循相同的格式:@ Rapid7 InsightConnect [命令] [指示].命令示例如下:@Rapid7 InsightConnect block-host 1.1.1.1.我们自动提取和捕获命令,比如块主机在本例中,在一个名为$first_word的变量中。
当您的命令后跟一个常用的网络或安全指示器后,我们的Chatbot会检测到指示器的格式,自动提取它,并将其存储在输出变量中。
这些是我们捕获和存储的常用网络和安全指示类型:
- IP地址(IPv4和IPv6)
- MD5散列
- Sha1哈希
- SHA256散列
- MAC地址
- 电子邮件地址
- 域名
- URL.
您可以稍后在工作流中使用这些输出变量来轻松配置进一步的操作。例如,在拒绝列表中添加散列,用威胁情报插件充实URL或域名,从用户收件箱中删除电子邮件,或阻止IP地址,所有这些都不需要从聊天消息中手动解析这些指示器。