最后更新于2023年4月22日(星期六)19:34:54 GMT
每种新技术都有一个特定于您的组织的学习曲线. 首先你要学习基础知识,然后再加速. Rapid7的产品也不例外.
作为高级信息安全工程师 Brooks我对这个过程有第一手的经验. 我监督了Rapid7的安全编排、自动化和响应的实现 (SOAR) solution, InsightConnect,在我的组织内. 我们在一年内从零工作流程发展到20多个工作流程. 这里有一些关于建立SOAR计划的思考和建议, 通过我的故事的镜头,关于那成功和创新的一年.
工作流程1:让Rapid7握住你的手
在之前一篇关于InsightConnect初始部署的博文中,我分享了一些关键建议 关于如何设置一个SOAR工具并启动程序. 回顾这个成功的过程, 我相信你应该从一个可管理的目标开始——并且提供直接的价值来帮助证明和巩固主动性的价值. For example, a phishing相关的工作流程是一个很好的开始. 但也有其他选择,这取决于您的组织的需要. 考虑以下问题:
- 您的组织中的什么痛点呈现出迫切的需求?
- 您已经想要或需要尝试自动化哪些流程?
还要考虑团队的关键技术, 但当你思考这些问题时, 以与技术无关的方式处理解决方案. Instead, focus on the process, 哪一种通常可以应用于多种技术, 以及相应的预期结果.
After that, 您将希望与您的安全分析师合作(假设您不是安全分析师)!)来确定他们的痛点. 他们收到的最常见的警报是什么? 他们在哪里花的时间最多? 或者我最喜欢问的问题:“什么需要最多的浏览器选项卡??你的当务之急应该是如何让他们的工作更轻松、更高效.
From there, 依赖Rapid7的产品资源和服务, 特别是现有的工作流,你可以在Rapid7中找到 Extensions Library -这会减少你一半的工作量.
工作流程2到5:与Slack和Teams集成
一旦你开始了你的第一个工作流程, 继续查看Rapid7扩展库的工作流程,您可以下载并适应您的需求. 其中一些最好的例子使用Slack或Microsoft Teams作为主要界面——你可以通过搜索轻松找到它们 按类别划分的工作流. 当你找到一个合适的工作流程, 不要纠结于工作流程中的特定技术. Again, 毕竟,把注意力集中在你正在自动化的过程上, 在一个防火墙上阻止IP与在另一个防火墙上阻止IP本质上是一样的, 因为这只是交换集成插件的问题.
我建议从Slack和团队相关工作流开始的一个主要原因是,它们是库中数量最多的,对大多数组织都很有价值. 但是在这一点上,来自整个组织的关键利益相关者的支持变得至关重要. 与管理您的团队或企业Slack帐户的人一起输入适当的API密钥-他们是您的安全自动化团队的扩展部分.
从那里,查看工作流程 incident response and enrichment – 同样,在扩展中 library. 搜索viruvirtual或强制重置密码或撤销Office 365访问权限都是非常有用的自动化领域, 因为你可能经常进行这些过程. 他们可能会花费很多时间,因为当集成和自动化还没有到位时,他们经常依赖于其他团队. 由于在网络钓鱼相关的妥协中,时间是至关重要的,因此它们非常有影响力.
响应和充实工作流对工作流2到5如此有用的一个原因是,它帮助您理解SOAR不仅仅是关于完全自动化的. 事实上,它是关于支持人类决策的. 因此,许多安全决策需要人类的洞察力和经验才能做出正确的决策. SOAR所能做的是自动收集必要的上下文, 将决策交给安全分析师, 然后广泛地自动化这些决策的执行.
工作流程6到10:深入分析分析师的痛点
At this point, 这将使你和你的团队更容易构建和实现自己的目标, 更多的定制工作流. 你会理解决策树之类的东西, loops, 还有减价卡——将您的安全自动化工作流程提升到下一个水平的必要工具. 然后,您将准备开始定制更多的工作流,专门满足您的组织和分析人员的需求. Start here:
- 找出你的分析师的前5个警告是什么. 它们可能是DNS、EDR、防火墙或与电子邮件相关的警报.
- 返回到Rapid7工作流库,找到您可以采用和自定义的现有工作流来处理这些警报类别.
期望在几周的时间里,在这里和那里投入几个小时来完善每个工作流程,以适应您的组织. 这听起来可能很多,但我保证——提升并不太难. Rapid7扩展库和工具可以 a lot of lifting for you!
工作流程10到20:将你的工作流程提升到下一个层次
一旦你实现了大约10个工作流, 例如,您已经准备好开始关注可能需要更多定制的特定痛点, 针对撤销Office 365会话等调查的特别行动, 搜索和删除特定的电子邮件, 或自动阻止可能的恶意url基于 threat intelligence 你订阅的提要.
你创建的越多,你就越能自如地从头开始创建工作流. In my experience, 当你达到20个工作流的时候, 你应该期望自己或团队成员能够在1到2周内设计并发布一个典型的工作流程, 假设他们每周花4到8个小时在这上面. 看看我的团队最推崇的两个定制工作流:
然而,这并不是说你不能把现有的工作流变成你自己的工作流. 跟上……的最新发展对你有好处 Rapid7’s marketplace. 我每隔几周就会查看一下市场,并订阅新闻通讯,了解新的工作流程或插件. 我还学会了使用插件API来为Rapid7还没有的插件进行自定义API调用!
In my next blog, 我将更深入地探讨高价值安全自动化工作流的原因和方式. 我也会告诉你们一些我们在布鲁克斯看到的好处,这要归功于我们的SOAR项目.
Additional reading:
