Passar para o conteúdo principal

Integração do Rapid7 SIEM (InsightIDR)

Este guia explica como ingerir feeds da Plataforma Axur no Rapid7 SIEM (InsightIDR) usando uma fonte de evento personalizada via HTTP. As etapas abaixo espelham o estilo dos outros guias de SIEM neste repositório e dependem apenas de recursos nativos do Rapid7.

Observação: Este tutorial pressupõe que você já tem acesso à Plataforma Axur e à Chave de API necessária.

Pré-requisitos

  • Acesso ao Rapid7 InsightIDR com permissões para criar/gerenciar Fontes de Eventos

  • Chave de API da Plataforma Axur

Considerações sobre custos e faturamento

  • Importante: Quaisquer custos de nuvem ou plataforma relacionados ao Rapid7 são faturados pelo Rapid7 à sua assinatura/conta. A Axur não fatura, gerencia ou assume responsabilidade por encargos do Rapid7.

  • Fatores comuns de custo:

    • Volume de ingestão de logs e retenção no InsightIDR

    • Quaisquer recursos adicionais habilitados na sua assinatura Rapid7

  • Dicas para controlar custos:

    • Comece com filtros de feed mais restritos na Axur para limitar o volume

    • Monitore o tamanho da ingestão no Rapid7 e ajuste o agendamento/filtros conforme necessário

Dica: Um glossário de termos do Rapid7 usados neste tutorial está disponível ao final do documento.

1) No Rapid7: Abrir Event Sources e adicionar uma nova fonte

No console do Rapid7, navegue até Event Sources e comece a criar uma nova Event Source.

Capturas de tela:

2) Selecionar a opção Rapid7 Custom Logs e nomear a fonte

Escolha a opção Rapid7 Custom Logs (ou ingestão personalizada equivalente). Dê à fonte de evento um nome claro (ex: “Axur Integration”).

Selecione a opção Webhook. Forneça um nome para a fonte e defina a chave de evento JSON de acordo com a coleção Axur que você pretende ingerir:

  • Para tickets: defina a chave de evento JSON como collectionData.tickets (isso se divide em N eventos de ticket)

  • Para credenciais (detecções): defina a chave de evento JSON como collectionData.detections (isso se divide em N eventos de credencial)

Após salvar, copie a URL do Webhook gerada. Você usará esta URL para criar o feed Push da Axur. Nenhuma credencial é necessária aqui.

Capturas de tela:

Observações: - Garanta que a chave de evento JSON corresponda ao tipo de entidade Axur desejado. Crie fontes de webhook separadas se desejar ingerir tickets e detecções de forma independente.

3) Na Axur: Criar um Feed PUSH apontando para a URL do Webhook

Na Plataforma Axur, crie um feed Push (Webhook 2.0) e defina o endpoint para a URL do Webhook do Rapid7 copiada na Etapa 2. Alinhe o tipo/filtros do feed com a chave de evento JSON que você configurou:

O que configurar na Axur (Push/Webhook 2.0): - URL do Endpoint: cole a URL do Webhook do Rapid7 - Alinhamento de evento JSON: - Se o seu webhook usar collectionData.tickets, configure um feed de tickets e filtros de acordo - Se o seu webhook usar collectionData.detections, configure um feed de credenciais e filtros de acordo - Agendamento/filtragem sugeridos: comece de forma conservadora (ex: intervalos mais longos / filtros mais restritos) e ajuste após validar o volume

Capturas de tela:

Validação

Após habilitar o feed e esperar alguns minutos, valide se os eventos estão chegando ao Rapid7.

Etapas: 1. No InsightIDR, abra a Pesquisa de Log (ou a visualização associada à sua nova Event Source). 2. Filtre pelo nome da Event Source que você criou (ex: “Axur Integration”). 3. Confirme se novos eventos estão chegando e se os campos estão presentes conforme o esperado (ex: dados de ticket/detecção da Axur).

Se você não vir eventos após 10–15 minutos, consulte a seção de solução de problemas abaixo.

Capturas de tela:

Solução de problemas

Nenhum evento aparecendo: - Verifique se sua Chave de API da Axur é válida e se o feed Push está habilitado - Confirme se a URL do Webhook do Rapid7 corresponde exatamente ao que foi copiado da interface do usuário - Verifique se há erros HTTP nos logs de entrega do feed da Axur (401/404/429/5xx)

Erros 401/403: - Copie novamente a URL do Webhook do Rapid7 e garanta que não haja truncamentos ou caracteres extras - Se o webhook foi regenerado, atualize a URL no feed da Axur

429 (limitação de taxa) ou preocupações com volume: - Reduza o escopo do feed via filtros na Plataforma Axur

Erros de payload malformado: - Garanta que a Axur esteja enviando JSON e que a fonte de evento do Rapid7 espere JSON - Se o Rapid7 exigir uma estrutura de nível superior específica, adicione uma transformação leve (se disponível) ou ajuste a análise da fonte de evento

Glossário

  • InsightIDR (Rapid7): Plataforma SIEM e XDR em nuvem do Rapid7 usada aqui para ingerir dados da Axur

  • Event Source: Uma entrada configurada no InsightIDR que recebe logs/eventos

  • Endpoint de Ingestão: A URL do Webhook fornecida pelo Rapid7 para receber eventos

  • Push (Webhook 2.0): Modo de entrega da Axur que envia eventos diretamente para o seu endpoint

Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊

Artigos relacionados
Integração com Microsoft Sentinel
Integração IBM QRadar
Integração com Elastic Security
Axur Feed + n8n: transforme as detecções da Axur em ações automatizadas
Ingestão de IOCs Axur no OpenCTI via TAXII
Respondeu à sua pergunta?