Rapid7 SIEM

Rapid7 是一个安全平台，提供多种分析漏洞和威胁数据的方法，例如安全信息和事件管理 (SIEM)。通过 Rapid7 团队开发的 Rapid7 Bitwarden 集成，企业可以使用 Rapid7 InsightConnect 软件上的 Bitwarden App 监控 Bitwarden 组织和事件活动。

设置

创建 Rapid7 账户

首先，您需要一个能够访问 InsightConnect 的 Rapid7 账户。在 Rapid7 网站上创建一个账户。

下载 Bitwarden 插件

1、访问 InsightConnect 仪表板。

2、在导航菜单上，选择 SETTINGS → Plugins & Tools。

3、在扩展目录中搜索 Bitwarden 并安装此插件。

4、返回您的扩展库并选择 Bitwarden 插件，点击 ✚ Create Connection。保持此连接窗口打开，需要来自 Bitwarden 网页密码库的信息才能完成下一步。

5、在新选项卡或窗口中，访问 Bitwarden 组织的客户端 ID 和客户端密钥。登录 Bitwarden 网页 App 然后使用产品切换器打开管理控制台：

6、导航到组织的设置 → 组织信息界面，然后选择查看 API 密钥按钮。系统将要求您重新输入主密码以访问您的 API 密钥信息。

7、复制 client_id 和 client_secret 值。返回创建云连接窗口：

1. 将 client_id 值粘贴到 Client ID 字段中。

2. 将 client_secret 值粘贴到 Client Secret 字段中。要访问此字段，请从 Select Credential 下拉菜单中选择 Add Credential。将 client_secret 值粘贴到 Client Secret 字段中。填写您希望包含在连接中的任何其他名称和描述值。

8、输入这些值后，选择 Save & Test Connection。Rapid7 将运行连接测试并指示设置是否成功。

创建工作流

要开始使用 Rapid7 监控数据，请创建 InsightConnect 工作流。本指南将演示创建云工作流，然后测试该工作流。

1、在主导航上，选择 WORKFLOWS。

2、在此界面右上角，选择 Add Workflow 开始。

3、将出现一个窗口，显示用于创建工作流的不同选项。对于本示例，选择 Start From Scratch。高级用户可以选择浏览现有模板。

4、在「创建新工作流」窗口中，填写以下必填字段：

1. Workflow Name：为工作流创建一个名称，例如 Bitwarden Logs 。

2. Time Savings：此工作流将节省的时间。

3. Optional：根据需要包括工作流程的摘要和标签。

5、完成后选择 Create。

创建工作流触发器

1、单击工作流编辑器中的新触发器。在选择触发器窗口中，选择您想要用于启动工作流的触发器，例如 API Trigger。填写以下必填字段：

1. Name：为新触发器提供一个名称。

2. Variable：选择变量，例如 Event 。

3. Data Type:：选择 String。

4. Optional：输入触发器描述以记录有关触发器的使用情况。

2、完成设置后选择 Close。

添加工作流步骤

1、在工作流编辑器上，选择 ✚加号图标以添加新步骤。

2、选择 ✚Action 以添加新操作。从插件列表中选择 Bitwarden 。

3、在选择操作界面，选择要监控的操作。对于此示例，我们将选择 List Events 。做出选择后，选择 Continue。

4、选择要运行的 Cloud 选项。在连接下拉列表中，选择我们之前在指南中建立的 Bitwarden 连接。完成后选择 Continue。

5、在配置详情界面上，根据您的设置要求填写可选字段，例如 Start Date。

6、自定义步骤详情后，选择 Save Step。

测试工作流

1、返回工作流编辑器然后选择 Test 以尝试工作流。将出现「测试工作流」窗口。选择窗口底部的 Test Workflow 来运行该流程。

2、这可能需要一些时间。完成后，将出现「作业详细信息」窗口，其中包含工作流的结果：

启用工作流

1、要启用工作流，请从主导航中选择 WORKFLOWS。

2、使用切换选项激活工作流：

3、激活后，将根据工作流中建立的触发器设置生成报告。通过选择导航上的作业来查看这些报告。