最后更新于2023年9月8日(星期五)19:15:12 GMT

在当今不断发展的网络安全环境中, 对于云环境中的组织来说,检测和响应网络威胁至关重要. 同时, 由于数据收集过程耗时且复杂,调查网络威胁警报可能非常艰巨. 来解决这个痛点, Rapid7开发了一个新的云资源丰富API,简化了从各种云资源中检索数据的过程. 该API使安全分析师能够快速响应网络威胁并缩短事件响应时间.

识别对统一API的需求

保护云资源免受网络攻击是一项日益严峻的挑战. 安全分析师必须努力收集跨多个系统和api的相关数据, 导致事件响应效率低下. 面对这样的挑战, 我们认识到,在网络威胁行动期间,迫切需要一个统一的API来收集与云资源相关的所有相关数据类型. 这个API简化了数据访问, 使分析人员能够迅速拼凑出事件的全面视图, 加强网络安全运营.

定义愿景和范围

我们的开发团队与安全分析师密切合作,定制API的功能以满足实际需求. 定义API的范围需要对特性进行细致的优先级排序, 在可用性和数据丰富之间取得适当的平衡. 通过从一开始就让分析师参与进来,我们为API的成功奠定了坚实的基础.

发展历程

采用敏捷方法, 我们的团队迭代开发了API, 随着我们的进步不断调整和调整. 迭代开发过程在确保API的成功方面起着至关重要的作用. 把项目分解成小项目, 管理的任务, 我们可以专注于特定的功能, 有效地实施它们, 并从早期原型中收集反馈. 具有全面的设计阶段, 我们根据安全分析师的见解定义了API的架构和功能. 定期的会议和反馈的收集促进了持续的改进, 简化数据检索过程.

该API采用RESTful API设计原则,实现云系统间的数据集成和通信. 它收集以下类型的数据:

  • 收获的云资源属性(图, IP, 网络接口, 地区, 云组织和账户, 安全组, 和很多, 更)
  • 权限数据(对资源的权限、资源的权限)
  • 安全洞察(风险、错误配置、漏洞)
  • 安全警报(“威胁查找”)
  • 第一级云相关资源
  • 应用程序上下文(由客户机在云环境中进行的标记)

每种数据类型都需要与负责收集和处理数据的不同团队进行协作. 这导致了一个涉及6个不同团队的开发人员的功能! 定期与开发团队和产品经理进行沟通, 允许我们整合建议,并对API的设计和功能进行迭代改进.

结论

我们的云资源浓缩API的开发历程既充满挑战,也有收获. 采用以用户为中心的方法, 我们设计了一个强大的工具,使安全团队能够有效地应对网络威胁. 随着我们继续增强API, 我们将继续致力于加强组织的网络防御和提升事件响应能力. 我们携手合作,可以让保安分析人员更有信心面对瞬息万变的网络战争.