最后更新于2022年11月15日星期二22:06:39 GMT

作为布鲁克斯公司的高级信息安全工程师, 一家国际跑鞋和服装公司, 我能体会到发起一个 安全业务流程, automation,以及响应(SOAR)工具 第一次 以及投入你的时间和预算 打造自己的新安全平台. 我已经使用Rapid7很多年了, 我已经成为了用户友好的传道者, 低代码工作流使SOAR成为管理的乐趣,并且是我们安全程序中重要的效率驱动程序.

在这篇博文中 third 在一系列 how-to guides 关于如何与SOAR和Rapid7合作 InsightConnect 特别地,我将概述我开发的经验 URL阻断工作流程 以符合我们公司的具体需求,也许也符合贵公司的具体需求!

在多个系统中自动阻止url的工作流

我构建这个工作流是为了解决两个非常常见的用例:

  • 用户报告收到一封实际上包含可疑链接的网络钓鱼电子邮件.
  • 我们从利用外部链接的威胁情报来源了解网络钓鱼或其他骗局.

在得知可疑的恶意链接后, 我们的团队需要进行调查来决定如何处理这个问题——从历史上看,这是一个手动的三步过程:

1. 通过从多个来源提取威胁情报来调查链接和相关域,以查看已知的内容.

2. 如果确定是恶意的, 阻止URL和潜在的整个域在我们的电子邮件安全系统, 我们的DNS过滤器和防火墙/VPN.

3. 找出是谁, 如果我们组织里有人, 单击链接并移动到响应中的进一步步骤.

可以想象,手动执行这些步骤会花费大量的时间. 现在,想象一下每天多次进行这个过程——而时间是敌人. 此外,如果您的安全团队出现人员流动怎么办? 例如,在我的团队中,我们最近失去了一名分析师,又增加了一名. 我们需要可靠和可重复的流程,任何分析师都可以通过最少的培训来执行.

这就是 这样的工作流程 变得如此有用! 新分析师不需要知道在我们的组织中阻止URL的所有位置. 通过执行来自Microsoft Teams的单个工作流, 保证恶意URL被拦截, 在所有必要的地方, every time. In addition, 工作流可以确定以前是否有人访问过该链接, 从而判断给定的用户或端点是否需要进一步调查.

手工完成这一任务既困难又耗时. 我估计这个过程每次都会消耗30-60分钟的分析时间. 手动执行此调查, 您需要访问每个日志源, 搜索URL, 并更新当地政策以阻止其继续发展. 用我建立的工作流程, 它变成了一个即时的过程,在执行后只需要一到两分钟的回顾. 难怪我的安全分析团队特别要求这个工作流.

想看看它的实际应用? 看看这个短片 video.

我是如何开发这个SOAR工作流的?

对于许多SOAR工作流来说,最好和最简单的起点就是你的Chatapps——我是从Microsoft Teams开始的, 但你也可以使用Slack, 这并不重要. 两者都有助于促进与选定的工作人员的沟通, 启动SOAR工作流, 然后展示结果.

Next, use Rapid7插件 (Rapid7 InsightConnect如何集成到第三方系统中)连接到您的组织使用的IT和安全系统,以及您的特定自动化工作流程所需的系统. 然后,将您的逻辑、人力决策和通信点放入工作流中.

一旦工作流完成, 你仍然需要做一些测试来确保它能像设计的那样工作. 总会有一些小事情——例如,某些插件喜欢不同的格式. For example, DNS插件只需要一个域, 而对于防火墙来说, 在搜索日志和更新块列表时,您需要使用整个URL. 电子邮件安全平台也是如此. 当您对这种方法越来越熟悉并从用户组获得反馈时,从小处开始构建逻辑.

启动并运行这个URL阻塞工作流花了多长时间?

这个url阻断工作流大约有15个步骤. 我花了一两天的时间,只花了几个小时,就把它的骨架拼凑起来了. 输入验证和测试是这个过程中最长的部分, 但是,从开始到结束,只花了不到一周的时间就完成了这个特定的工作流程. And donating it 到InsightConnect社区也不费什么力气.

这里的关键是不要害怕持续测试和迭代. 如果有疑问,请不要犹豫,通过 讨论社区 征求意见.

使用这种基于无人机的自动化, 它需要不到一分钟的时间来阻止一个恶意的URL无处不在,它需要被阻止. 以前,从开始到结束可能需要40分钟到一个小时. 我们在一个典型的星期里运行这个工作流程10-20次. 这样每周可以节省7-20个小时的分析师时间. 这种单一的工作流程节省了近一半的全职员工的时间! 并且增加的阻挡一致性和速度是进一步降低风险的奖励.

我对SOAR工作流构建器的建议?

Rapid7 InsightConnect是那些不会也不应该存在于真空中的工具之一. 实际上,您需要其他IT团队的支持和参与来交付最大的价值. 获得支持! 它是一个安全编排工具. 协调多个人员、流程和技术是它的作用!