Rapid7 SIEM
最后更新于
最后更新于
对应的官方文档地址
Rapid7 是一个安全平台,提供多种分析漏洞和威胁数据的方法,例如安全信息和事件管理 (SIEM)。通过 Rapid7 团队开发的 Rapid7 Bitwarden 集成,企业可以使用 Rapid7 InsightConnect 软件上的 Bitwarden App 监控 Bitwarden 组织和事件活动。
首先,您需要一个能够访问 InsightConnect 的 Rapid7 账户。在 Rapid7 网站上创建一个账户。
1、访问 InsightConnect 仪表板。
2、在导航菜单上,选择 SETTINGS → Plugins & Tools。
3、在扩展目录中搜索 Bitwarden 并安装插件。
4、返回您的扩展库并选择 Bitwarden 插件,点击 ✚创建连接。保持连接窗口打开,需要来自 Bitwarden Web 密码库的信息才能完成下一步。
5、在新选项卡或窗口中,访问 Bitwarden 组织的客户端 ID 和客户端密钥。登录 Bitwarden Web App 并使用产品切换器打开管理控制台:
6、导航到组织的设置 → 组织信息界面,然后选择查看 API 密钥按钮。系统将要求您重新输入主密码以访问您的 API 密钥信息。
7、复制 client_id 和 client_secret 值。返回创建云连接窗口:
将 client_id 值粘贴到客户端 ID 字段中。
将 client_secret 值粘贴到客户端密钥字段中。要访问此字段,请从选择凭据下拉菜单中选择添加凭据。将 client_secret 值粘贴到安全密钥字段中。填写您希望包含在连接中的任何其他名称和描述值。
8、输入这些值后,选择保存并测试连接。 Rapid7 将运行连接测试并指示设置是否成功。
您的组织 API 密钥允许对您的组织进行完全访问。请妥善保管您的 API 密钥。如果您认为您的 API 密钥已被泄露,请在此界面上选择设置 → 组织信息 → 轮换 API 密钥按钮。您当前 API 密钥的有效实施需要使用新密钥重新配置后才能使用。
要开始使用 Rapid7 监控数据,请创建 InsightConnect 工作流。本指南将演示创建云工作流,然后测试该工作流。
1、在主导航上,选择工作流。
2、在此界面右上角,选择添加工作流开始。
3、将出现一个窗口,显示用于创建工作流的不同选项。对于本示例,选择从头开始 。高级用户可以选择浏览现有模板。
4、在「创建新工作流」窗口中,填写以下必填字段:
工作流名称:为工作流创建一个名称,例如 Bitwarden Logs 。
节省时间:此工作流将节省的时间。
可选:根据需要包括工作流程的摘要和标签。
5、完成后选择创建。
1、单击工作流编辑器中的新触发器。在选择触发器窗口中,选择您想要用于启动工作流的触发器,例如 API 触发器。填写以下必填字段:
名称:为新触发器提供一个名称。
变量:选择变量,例如 Event 。
数据类型:选择 String。
可选:输入触发器描述以记录有关触发器的使用情况。
2、完成设置后选择关闭。
1、在工作流编辑器上,选择 ✚加号图标以添加新步骤。
2、选择 ✚操作以添加新操作。从插件列表中选择 Bitwarden 。
3、在选择操作界面,选择要监控的操作。对于此示例,我们将选择 List Events 。做出选择后,选择继续。
4、选择要运行的云选项。在连接下拉列表中,选择我们之前在指南中建立的 Bitwarden 连接。完成后选择继续。
5、在配置详情界面上,根据您的设置要求填写可选字段,例如 Start Date。
6、自定义步骤详情后,选择保存步骤。
1、返回工作流编辑器并选择测试以尝试工作流。将出现「测试工作流」窗口。选择窗口底部的测试工作流来运行该流程。
2、这可能需要一些时间。完成后,将出现「作业详细信息」窗口,其中包含工作流的结果:
1、要启用工作流,请从主导航中选择工作流。
2、使用切换选项激活工作流:
3、激活后,将根据工作流中建立的触发器设置生成报告。通过选择导航上的作业来查看这些报告。