开始自动化
自动化允许您减少必须执行的手动安全任务的数量。为了有效地简化您的安全流程,您可以[利用InsightIDR中提供的自动化功能。这些功能允许您自动执行包含威胁的任务,在出现可疑活动时通知您的团队,以及追踪调查进展。
为帮助您在InsightIdr中启动自动化,您需要完成以下任务:
任务1:安装并激活Insight Orchestrator
为了将Insutigridr连接到您在环境中使用的产品,服务和工具,您需要设置并激活Insight Orchestrator。Insight Orchestrator是您在网络上安装的组件,它为InsightIdr提供了自动化安全进程所需的访问。如果要利用InsightIdr中提供的自动化功能,则必须具有乐队。
准备开始?
了解如何设置和激活Insight Orchestrator。
任务2:向第三方工具添加连接
InsightIDR包括几个现成的工作流模板,这些模板是为第三方工具构建的,您可以利用这些工具满足安全需求。为了使用这些模板,您需要设置自动化连接。连接包括InsightIDR访问和验证第三方工具所需的凭据和必需参数,如应用程序URL。
现成的工作流目前支持以下第三方集成:
- 活动目录
- Cb响应
- JIRA
- okta.
- ServiceNOW.
当受限资产存在异常活动时,是否要自动创建JIRA或ServiceNow票证?您需要添加一个连接。
任务3:激活工作流模板
您可以使用开箱即用的工作流模板来设置工作流,以执行隔离资产、从调查中暂停用户帐户和创建JIRA票据等操作。这些工作流基于工作流模板。这些模板是没有配置连接的工作流,当您需要重用具有不同连接的工作流步骤时非常方便。
当调查中存在需要您采取行动的情况时,您可以启动工作流。需要禁用正在访问受限资产的用户吗?您可以使用Okta工作流挂起用户。
你的联系都建立好了吗?
任务4:使用工作流执行操作
既然您已设置orchestrator,添加连接和激活某些工作流模板,您的工作流程就可以使用。您可以使用InsightIdr中的可用操作和工作流程直接从调查中自动执行一些任务。
准备开工工作流程?