Passar para o conteúdo principal

Integração do Rapid7 SIEM (InsightIDR)

Atualizado há mais de 2 meses

Este guia explica como ingerir feeds da Plataforma Axur no Rapid7 SIEM (InsightIDR) usando uma fonte de evento personalizada via HTTP. As etapas abaixo espelham o estilo dos outros guias de SIEM neste repositório e dependem apenas de recursos nativos do Rapid7.

Observação: Este tutorial pressupõe que você já tem acesso à Plataforma Axur e à Chave de API necessária.

Pré-requisitos

  • Acesso ao Rapid7 InsightIDR com permissões para criar/gerenciar Fontes de Eventos

  • Chave de API da Plataforma Axur

Considerações sobre custos e faturamento

  • Importante: Quaisquer custos de nuvem ou plataforma relacionados ao Rapid7 são faturados pelo Rapid7 à sua assinatura/conta. A Axur não fatura, gerencia ou assume responsabilidade por encargos do Rapid7.

  • Fatores comuns de custo:

    • Volume de ingestão de logs e retenção no InsightIDR

    • Quaisquer recursos adicionais habilitados na sua assinatura Rapid7

  • Dicas para controlar custos:

    • Comece com filtros de feed mais restritos na Axur para limitar o volume

    • Monitore o tamanho da ingestão no Rapid7 e ajuste o agendamento/filtros conforme necessário

Dica: Um glossário de termos do Rapid7 usados neste tutorial está disponível ao final do documento.

1) No Rapid7: Abrir Event Sources e adicionar uma nova fonte

No console do Rapid7, navegue até Event Sources e comece a criar uma nova Event Source.

Capturas de tela:

2) Selecionar a opção Rapid7 Custom Logs e nomear a fonte

Escolha a opção Rapid7 Custom Logs (ou ingestão personalizada equivalente). Dê à fonte de evento um nome claro (ex: “Axur Integration”).

Selecione a opção Webhook. Forneça um nome para a fonte e defina a chave de evento JSON de acordo com a coleção Axur que você pretende ingerir:

  • Para tickets: defina a chave de evento JSON como collectionData.tickets (isso se divide em N eventos de ticket)

  • Para credenciais (detecções): defina a chave de evento JSON como collectionData.detections (isso se divide em N eventos de credencial)

Após salvar, copie a URL do Webhook gerada. Você usará esta URL para criar o feed Push da Axur. Nenhuma credencial é necessária aqui.

Capturas de tela:

Observações: - Garanta que a chave de evento JSON corresponda ao tipo de entidade Axur desejado. Crie fontes de webhook separadas se desejar ingerir tickets e detecções de forma independente.

3) Na Axur: Criar um Feed PUSH apontando para a URL do Webhook

Na Plataforma Axur, crie um feed Push (Webhook 2.0) e defina o endpoint para a URL do Webhook do Rapid7 copiada na Etapa 2. Alinhe o tipo/filtros do feed com a chave de evento JSON que você configurou:

O que configurar na Axur (Push/Webhook 2.0): - URL do Endpoint: cole a URL do Webhook do Rapid7 - Alinhamento de evento JSON: - Se o seu webhook usar collectionData.tickets, configure um feed de tickets e filtros de acordo - Se o seu webhook usar collectionData.detections, configure um feed de credenciais e filtros de acordo - Agendamento/filtragem sugeridos: comece de forma conservadora (ex: intervalos mais longos / filtros mais restritos) e ajuste após validar o volume

Capturas de tela:

Validação

Após habilitar o feed e esperar alguns minutos, valide se os eventos estão chegando ao Rapid7.

Etapas: 1. No InsightIDR, abra a Pesquisa de Log (ou a visualização associada à sua nova Event Source). 2. Filtre pelo nome da Event Source que você criou (ex: “Axur Integration”). 3. Confirme se novos eventos estão chegando e se os campos estão presentes conforme o esperado (ex: dados de ticket/detecção da Axur).

Se você não vir eventos após 10–15 minutos, consulte a seção de solução de problemas abaixo.

Capturas de tela:

Solução de problemas

Nenhum evento aparecendo: - Verifique se sua Chave de API da Axur é válida e se o feed Push está habilitado - Confirme se a URL do Webhook do Rapid7 corresponde exatamente ao que foi copiado da interface do usuário - Verifique se há erros HTTP nos logs de entrega do feed da Axur (401/404/429/5xx)

Erros 401/403: - Copie novamente a URL do Webhook do Rapid7 e garanta que não haja truncamentos ou caracteres extras - Se o webhook foi regenerado, atualize a URL no feed da Axur

429 (limitação de taxa) ou preocupações com volume: - Reduza o escopo do feed via filtros na Plataforma Axur

Erros de payload malformado: - Garanta que a Axur esteja enviando JSON e que a fonte de evento do Rapid7 espere JSON - Se o Rapid7 exigir uma estrutura de nível superior específica, adicione uma transformação leve (se disponível) ou ajuste a análise da fonte de evento

Glossário

  • InsightIDR (Rapid7): Plataforma SIEM e XDR em nuvem do Rapid7 usada aqui para ingerir dados da Axur

  • Event Source: Uma entrada configurada no InsightIDR que recebe logs/eventos

  • Endpoint de Ingestão: A URL do Webhook fornecida pelo Rapid7 para receber eventos

  • Push (Webhook 2.0): Modo de entrega da Axur que envia eventos diretamente para o seu endpoint

Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊

Artigos relacionados
Feeds
Integração com Microsoft Sentinel
Integração IBM QRadar
Integração com Elastic Security
Axur Feed + n8n: transforme as detecções da Axur em ações automatizadas
Respondeu à sua pergunta?