# Rapid7 SIEM {% hint style="success" %} 对应的[官方文档地址](https://bitwarden.com/help/rapid7-siem/) {% endhint %} Rapid7 是一个安全平台，提供多种分析漏洞和威胁数据的方法，例如安全信息和事件管理 (SIEM)。通过 Rapid7 团队开发的 Rapid7 Bitwarden 集成，组织可以使用 Rapid7 InsightConnect 软件上的 Bitwarden App 来监控 Bitwarden 组织和[事件](/docs/admin-console/oversight-visibility/event-logging/event-logs.md)活动。 {% hint style="info" %} InsightConnect 上的 Bitwarden 插件适用于云端用户和 Insight Orchestrator 用户。本指南将演示云端设置。有关 Insight Orchestrator 的更多信息，请参阅 [Rapid7 文档](https://docs.rapid7.com/insightconnect/orchestrator/)。 {% endhint %} ## 设置 ### 创建 Rapid7 账户首先，您需要拥有一个能够访问 InsightConnect 的 Rapid7 账户。在 Rapid7 [网站](https://www.rapid7.com/)上创建一个账户。 ### 下载 Bitwarden 插件 1、访问 InsightConnect 仪表板。 2、在导航菜单上，选择 **SETTINGS** → **Plugins & Tools**。

3、在扩展目录中搜索 **Bitwarden** 并安装此插件。 4、返回您的扩展库，选择 Bitwarden 插件，然后点击 ✚ **Create Connection**。保持此连接窗口打开，需要来自 Bitwarden 网页密码库的信息才能完成下一步。

5、在新标签页或窗口中，获取您的 Bitwarden 组织的**客户端 ID** 和**客户端密钥。**登录 Bitwarden 网页 App ，然后使用产品切换器打开管理控制台：

6、导航到组织的**设置** → **组织信息**界面，然后选择**查看 API 密钥**按钮。将要求您重新输入主密码，以访问您的 API 密钥信息。

7、复制 `client_id` 和 `client_secret` 值。返回创建云连接的窗口： 1. 将 `client_id` 值粘贴到 **Client ID** 字段中。 2. 将 `client_secret` 值粘贴到 **Client Secret** 字段中。要访问此字段，请从 **Select Credential** 下拉菜单中选择 **Add Credential**。将 `client_secret` 值粘贴到 **Client Secret** 字段中。填写您希望在连接中包含的任何其他名称和描述值。 8、输入这些值后，选择 **Save & Test Connection**。Rapid7 将运行连接测试并指示设置是否成功。 {% hint style="info" %} 您的组织 API 密钥信息是敏感数据。不要在不安全的位置分享这些值。 {% endhint %} ## 创建工作流要开始使用 Rapid7 监控数据，请创建一个 InsightConnect 工作流。本指南将演示创建云工作流，然后测试该工作流。 1、在主导航上，选择 **WORKFLOWS**。 2、在此界面右上角，选择 **Add Workflow** 以开始。 3、将出现一个窗口，显示用于创建工作流的不同选项。对于本示例，选择 **Start From Scratch**。高级用户可以选择浏览现有模板。

4、在「创建新工作流」窗口中，填写以下必填字段： 1. **Workflow Name**：为工作流创建一个名称，例如 **Bitwarden Logs** 。 2. **Time Savings**：此工作流将节省的时间。 3. **Optional**：根据需要为工作流添加摘要和标签。 5、完成后选择 **Create**。 ### 创建工作流触发器 1、单击工作流编辑器中的新触发器。在「选择触发器」窗口中，选择您想要用于启动工作流的触发器，例如 **API Trigger**。填写以下必填字段： 1. **Name**：为新触发器提供一个名称。 2. **Variable**：选择变量，例如 `Event` 。 3. **Data Type**：选择 **String**。 4. **Optional：**输入触发器描述以记录有关触发器的使用情况。 2、完成设置后选择 **Close**。 ### 添加工作流步骤 1、在工作流编辑器上，选择 ✚加号图标以添加新步骤。

2、选择 ✚**Action** 以添加新操作。从插件列表中选择 **Bitwarden** 。 3、在选择操作界面，选择要监控的操作。对于此示例，我们将选择 **List Events** 。完成选择后，选择 **Continue**。

4、选择要运行的 **Cloud** 选项。在连接下拉菜单中，选择我们在指南中先前建立的 Bitwarden 连接。完成后选择 **Continue**。 5、在「配置详细信息」界面上，根据您的设置要求填写可选字段，例如 **Start Date**。 6、自定义步骤详细信息后，选择 **Save Step**。 {% hint style="info" %} Rapid7 允许创建多个操作并将其链接在一起。您可以通过其他 Bitwarden 操作重复此步骤以报告更多信息。[在此处](https://extensions.rapid7.com/extension/bitwarden)查看 Bitwarden 集成操作的完整列表。 {% endhint %} ### 测试工作流 1、返回工作流编辑器，然后选择 **Test** 以尝试运行工作流。将出现「测试工作流」窗口。选择窗口底部的 **Test Workflow** 来运行该流程。 2、这可能需要一些时间。完成后，将出现「作业详细信息」窗口，其中包含工作流的结果：

### 启用工作流 1、要启用工作流，请从主导航中选择 **WORKFLOWS**。 2、使用切换选项激活工作流：

3、激活后，将根据工作流中建立的触发器设置生成报告。通过选择导航上的**作业**来查看这些报告。

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://help.ppgg.in/docs/admin-console/oversight-visibility/siem-integrations/rapid7-siem.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.