自动浓缩工作流

谈到在调查网络上进行的安全事件时，细节和上下文通常会指示您必须花多少时间来确定该事件是否构成威胁。要在调查中包含的数据点提供尽可能多的上下文信息，InsightIdr具有多种自动化的丰富工作流，您可以根据需要手动运行，或者自动配置警报触发器．

概述

InsightIdr提供了您可以配置的众多内置的丰富工作流模板。这些工作流程可以处理和丰富以下输入数据类型：

• 资产
• 领域
• IP地址
• 过程
• URL
• 用户

大多数浓缩工作流模板都能够从同一调查中处理四种或更多种这些数据类型，但InsightIdr不需要待存在的所有数据类型以使工作流程运行。只要任何丰富的工作流程都有可行的进程，它将为您的安全团队使用丰富的内容。

什么是“浓缩”警报数据?

浓缩过程根据数据类型为每个输入值提供其他详细信息和上下文。例如，丰富的IP地址可以返回地理位置数据，注册日期和地址可以绑定的组织信息。在类似的静脉中，如果攻击者缩短了攻击者，则可以将丰富的URL返回全长URL。试图混淆其显着性。

简而言之，充实是关于在调查中包含的数据点获得更多的信息。这可以帮助您的安全团队了解哪些事件是威胁，哪些不是。

需求

充实工作流依赖于几个第三方和开源插件来处理您的调查数据。要使工作流能够在这些插件之间传递输入和输出，您需要安装并激活Insight Orchestrator．

浓缩工作流程文档

有关浓缩工作流程的专门配置文章，请参阅以下页面:

• 使用开源插件丰富警报数据