使用开源插件丰富警报数据

使用开源插件丰富警报数据工作流允许InsightIDR收集额外的内容,以丰富和进一步上下文化您的调查和警报。该工作流从您的调查中获取证据,并使用第三方、开源工具和插件来获取可能有用的更广泛的信息。

提示-配置警报触发器

此工作流旨在适应InsightIDR中几乎所有用户行为分析(UBA)警报,并且只要有效输入可用,就能够丰富警报数据。作为最佳实践,Rapid7强烈建议您将此工作流配置为使用警报触发器所以当你第一次展开调查时你就能看到浓缩的结果。

InsightIDR和InsightConnect -更好的在一起

使用开源插件丰富警报数据工作流是安全信息和事件管理(SIEM)以及安全协调和响应(SOAR)系统如何协同工作以解决环境中出现的安全问题的一个主要示例。当您查看此文档中的工作流细节和配置指令时,请考虑如何将SOAR混合到安全过程和实践中。自动化您的安全团队目前必须手动执行的某些步骤,极大地提高了他们在威胁响应方面的效率。

InsightIDR和InsightConnect一起使用,可以帮助促进这些高效的安全流程和实践。为此,拉皮德提出了一个建议实用剧本指南详细说明了通用工作流用例的示例。

请记住,警报充实只是启动事件响应计划的第一步。如果您想进一步自动化丰富的警报数据在必要时显示的自定义安全操作,可以使用InsightConnect

这个浓缩工作流程是如何工作的

工作流从InsightIDR警报中获取数据,并将此信息发送给Insight Orchestrator,以便InsightConnect进行处理。然后工作流按顺序通过以下任务运行数据:

  1. IP地址查找
  2. 域的查找
  3. URL检查
  4. 恶意进程和哈希检查

提示

工作流将尝试处理在初始化时可用的这些类别中的任何和所有警报指示器。工作流不需要来自所有四个类别的输入才能运行。

以下免费和开源插件执行数据扩展:

插件

描述

取消存储URL

攻击者经常用简单的缩写变体混淆url,以误导调查人员。Unshorten URL插件试图反转此操作。如果插件成功,或者原始URL没有被缩短,工作流将把得到的域子字符串发送到Whois插件,如表所示。

ExtractIt

extract插件从完整的URL中解析出域子字符串,为域分析做准备。

CYMRU - MHR团队

这个插件查找文件或哈希在恶意软件哈希注册表的团队Cymru。

Dig插件执行DNS正向和反向查找。

域名查询服务

如前所述,这个插件使用Linux WHOIS客户端来查询WHOIS服务器中存储的域名或IP地址。

工作流的每个循环处理不同的警报详细信息,并打印工件以显示每个循环的结果。

IP地址查找循环

“IP地址循环”使用Whois和Dig InsightConnect插件来收集由InsightIDR警报发现的IP地址数据。

首先,循环通过域名查询服务查找,然后打印一个工件,详细说明IP地址的以下内容:

  • 苹果酒
  • 网络名称
  • 网络类型
  • 网络范围
  • 物理地址
  • 城市
  • 状态
  • 邮政编码
  • 注册日期
  • 从警报日期起不到七天的返回注册日期通常非常可疑,需要考虑IP阻止。
  • 更新日期
  • 组织
  • 组织名称
  • 组织技术人员电子邮件地址
  • 组织技术人员电话号码
  • 组织滥用电子邮件地址
  • 组织滥用电话号码

接下来,循环通过使用Dig的反向DNS查找运行IP地址,然后使用Dig查询详细信息打印工件。

域循环

“域循环”使用Whois插件收集由InsightIDR警报发现的域的数据。然后工作流打印一个工件,其中包含每个领域的以下细节:

  • 的名字
  • DNSSEC
  • 域名注册机构
  • 域名服务器
  • 更新日期
  • 创建日期
  • 与IP地址查找循环返回的注册日期类似,返回的创建日期距离警报日期不到7天,通常是高度可疑的,需要考虑IP阻塞。
  • 域状态
  • 注册人国家代码
  • 注册器URL
  • 截止日期
  • 注册人的名字
  • 注册员IANA ID
  • 注册域ID
  • 域名服务器
  • 注册商滥用联系邮件
  • 登记员滥用联络电话

URL循环

“URL循环”检查由InsightIDR警报找到的URL,然后循环这些URL,将URL缩短为完整的形式。该循环将检查未缩短的URL的域名,以提供丰富的分析。

评估URL后,提取URL域,并使用Whois插件收集域数据。然后工作流打印一个工件,其中包含每个领域的以下细节:

  • 的名字
  • DNSSEC
  • 域名注册机构
  • 域名服务器
  • 更新日期
  • 创建日期
  • 与IP地址查找循环返回的注册日期类似,返回的创建日期距离警报日期不到7天,通常是高度可疑的,需要考虑IP阻塞。
  • 域状态
  • 注册人国家代码
  • 注册器URL
  • 截止日期
  • 注册人的名字
  • 注册员IANA ID
  • 注册域ID
  • 域名服务器
  • 注册商滥用联系邮件
  • 登记员滥用联络电话

过程循环

“进程循环”接收InsightIDR警报中找到的进程列表,然后循环查找到的每个进程的哈希内容。嵌套的“哈希循环”使用Team Cymru MHR插件运行查找,以收集进程每个哈希的以下详细信息:

  • 哈希
  • 散列算法/类型
  • 查找结果
  • 反病毒检测比例
  • 最后看到的时间戳
  • 响应代码

请注意

作为一般准则,返回的响应代码值为200(表示进程已成功找到),返回的最后一次看到的时间戳不到七天,表示进程高度可疑。

如何配置此工作流

您可以创建Alert Triggers来为某些警报自动运行此富集工作流,或者直接从调查中手动运行富集工作流。

要为富集工作流配置警报触发器,请执行以下操作:

警报触发器页的概述信息和配置说明。

要手动运行此扩展工作流,请执行以下操作:

  1. 从您的InsightIDR主页,选择调查从左边菜单。
  2. 展开所需的调查。您将看到涉及用户的事件的时间轴。
  3. 点击采取行动按钮。“采取行动”面板出现。
  4. 从“选择动作类别”下拉菜单中,单击浓缩的工作流
  5. 从“选择要执行的自动化操作”下拉列表中,单击使用开源插件丰富警报数据.点击持续
    • 接受多个对象的工作流显示为灰色标记。将鼠标悬停在此标记上,查看工作流接受哪些对象作为输入。由于该工作流接受多种输入类型,因此它将显示这个灰色标记。
    • 如果您正在配置一个新的工作流,请确保您选择的模板版本使用开源插件丰富警报数据. 模板由工作流名称旁边的小Rapid7徽标表示。
  6. 给您的工作流起一个名字。
  7. 为每个工作流插件选择连接。点击持续当准备好了。
  8. 配置InsightIDR将传递到工作流以进行扩展的详细信息。您可以从每个显示的下拉菜单中选择适用的数据点。
  9. 点击采取行动完成后。

流程完成后,工作流事件将出现在调查时间线上。