Ir al contenido principal

Integración de Rapid7 SIEM (InsightIDR)

Actualizado hace más de 2 meses

Esta guía explica cómo ingerir feeds de la Plataforma Axur en Rapid7 SIEM (InsightIDR) utilizando una fuente de eventos personalizada sobre HTTP. Los pasos a continuación replican el estilo de las otras guías de SIEM en este repositorio y se basan únicamente en características nativas de Rapid7.

Nota: Este tutorial asume que ya tienes acceso a la Plataforma Axur y la API Key requerida.

Prerrequisitos

  • Acceso a Rapid7 InsightIDR con permisos para crear/gestionar Event Sources

  • Axur Platform API Key

Consideraciones de costo y facturación

  • Importante: Cualquier costo de nube o plataforma relacionado con Rapid7 es facturado por Rapid7 a tu suscripción/cuenta. Axur no factura, gestiona ni asume responsabilidad por los cargos de Rapid7.

  • Factores comunes de costo:

    • Volumen y retención de ingesta de logs en InsightIDR

    • Cualquier característica adicional habilitada en tu suscripción de Rapid7

  • Consejos para controlar el costo:

    • Empieza con filtros de feed más restrictivos en Axur para limitar el volumen

    • Monitoriza el tamaño de la ingesta en Rapid7 y ajusta la programación/filtros según sea necesario

Consejo: Un glosario de términos de Rapid7 usados en este tutorial está disponible al final del documento.

1) En Rapid7: Abre Event Sources y agrega una nueva fuente

En la consola de Rapid7, navega a Event Sources y comienza a crear una nueva Event Source.

Capturas de pantalla:

2) Selecciona la opción Rapid7 Custom Logs y nombra la fuente

Elige la opción Rapid7 Custom Logs (o ingestión personalizada equivalente). Asigna un nombre claro a la fuente de eventos (por ejemplo, “Axur Integration”).

Selecciona la opción Webhook. Proporciona un nombre para la fuente y establece la JSON event key según la colección de Axur que pretendes ingerir:

  • Para tickets: establece la JSON event key a collectionData.tickets (esto se divide en N eventos de ticket)

  • Para credenciales (detecciones): establece la JSON event key a collectionData.detections (esto se divide en N eventos de credencial)

Después de guardar, copia la Webhook URL generada. Usarás esta URL para crear el Axur Push feed. No se requiere credencial aquí.

Capturas de pantalla:

Notas: - Asegúrate de que la JSON event key coincida con el tipo de entidad Axur deseado. Crea fuentes de webhook separadas si deseas ingerir tanto tickets como detecciones de forma independiente.

3) En Axur: Crea una Fuente PUSH apuntando a la URL del Webhook

En la Plataforma Axur, crea una fuente Push (Webhook 2.0) y establece el endpoint a la Webhook URL de Rapid7 copiada en el Paso 2 (selecciona-la-opcion-rapid7-custom-logs-y-nombra-la-fuente). Alinea el tipo/filtros de la fuente con la JSON event key que configuraste:

Qué configurar en Axur (Push/Webhook 2.0): - Endpoint URL: pega la Webhook URL de Rapid7 - Alineación de eventos JSON: - Si tu webhook usa collectionData.tickets, configura una fuente de tickets y los filtros correspondientes - Si tu webhook usa collectionData.detections, configura una fuente de credenciales y los filtros correspondientes - Programación/filtrado sugerido: comienza de forma conservadora (ej., intervalos más largos / filtros más estrictos) y ajusta después de validar el volumen

Capturas de pantalla:

Validación

Después de habilitar el feed y esperar unos minutos, valida que los eventos están llegando a Rapid7.

Pasos: 1. En InsightIDR, abre Log Search (o la vista asociada con tu nueva Event Source). 2. Filtra por el nombre de la Event Source que creaste (ej., “Axur Integration”). 3. Confirma que llegan nuevos eventos y que los campos están presentes como se espera (ej., datos de tickets/detecciones de Axur).

Si no ves eventos después de 10-15 minutos, consulta la sección de solución de problemas a continuación.

Capturas de pantalla:

Solución de problemas

No aparecen eventos: - Verifica que tu Axur API Key sea válida y que la fuente Push esté habilitada - Confirma que la Webhook URL de Rapid7 coincide exactamente con lo que se copió de la UI - Busca HTTP errors en los logs de entrega de feeds de Axur (401/404/429/5xx)

Errores 401/403: - Vuelve a copiar la Webhook URL de Rapid7 y asegúrate de que no haya truncamientos ni caracteres adicionales - Si el webhook fue regenerado, actualiza la URL en la fuente de Axur

429 (rate limiting) o preocupaciones de volumen: - Reduce el alcance del feed mediante filtros en la Plataforma Axur

Errores de carga útil malformada: - Asegúrate de que Axur está enviando JSON y de que la fuente de eventos de Rapid7 espera JSON - Si Rapid7 requiere una estructura de nivel superior específica, añade una transformación ligera (si está disponible) o ajusta el análisis de la fuente de eventos

Glosario

  • InsightIDR (Rapid7): La plataforma SIEM y XDR en la nube de Rapid7 usada aquí para ingerir datos de Axur

  • Event Source: Una entrada configurada en InsightIDR que recibe logs/eventos

  • Endpoint de Ingesta: La Webhook URL proporcionada por Rapid7 para recibir eventos

  • Push (Webhook 2.0): Modo de entrega de Axur que publica eventos directamente en tu endpoint

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊

Artículos relacionados
Indicadores de Compromiso (IoCs)
Integración con Microsoft Sentinel
Integración de IBM QRadar
Integración de Elastic Security
Axur Feed + n8n: convierta las detecciones de Axur en acciones automatizadas
¿Ha quedado contestada tu pregunta?