布鲁克斯依靠Rapid7 SOAR解决方案自动化他们的安全程序

挑战

布鲁克斯正在迅速成长，这意味着潜在的漏洞越来越多. “我们在短时间内从一家销售额5亿美元的公司成长为10亿美元的公司,赖安·弗里德解释道, senior security engineer.. 和, we’ve grown to close to 1,800 employees. That’s a lot more hits to our website 和 a lot more partners, which means more security events, 更多网络钓鱼邮件, 和 potentially more risk.“即使只有三名分析师，安全团队也在快速运行，以保持在警报之前一步. 

解决方案

Ryan implemented InsightConnect, Rapid7’s security orchestration, 自动化和响应(SOAR)解决方案，以加速其传统的手动操作, 时间密集的事件响应和漏洞管理流程. InsightConnect帮助安全团队直面挑战. “InsightConnect helps us scale. 它并不关心有多少集成系统，”Ryan说.

Ryan Fried is the senior security engineer at 布鲁克斯. 他是由两名工程师和三名分析师组成的五人安全团队中的一员. Ryan’s team is tightly integrated with multiple business units. “We have security embedded pretty early on, 以及我们的安全管理策略，如网络分段, 安全自动化, firewall 和 network security, amongst whatever else comes up. We like to build things to help our security analysts do their job.”

Ryan notes that 布鲁克斯 had no previous experience with SOAR. “我们用另一款SOAR产品做了POC，但它非常复杂.“那就是瑞安, who used Rapid7 InsightConnect at a previous company, recommended 布鲁克斯 consider the product. “为了证明POC的价值，我们选择了Rapid7 InsightConnect.” 

Increased 分析师 Engagement

Ryan对SOAR采取了积极主动的方法，指出传统的SOAR解决方案, 专注于没有动手, just automate to reduce FTEs. I feel the total opposite. 我已经能够用InsightConnect构建大量的丰富工作流，这样我们的Teams通道就成为了我们的中心命令. 我认为，就我们的分析师需要在浏览器中打开的标签页数量而言, 当涉及到事故调查时，我把它从10个减少到20个，只减少到1到2个. 我给他们一个超级可重复的过程，对每个分析都一样.” 

InsightConnect is saving the analysts time, 但对Ryan来说更重要的是，InsightConnect提高了分析师的参与度，使他们的工作更轻松. “Now they can do the things they actually want to do. 他们不会花60分钟查看钓鱼邮件，也不会花20到30分钟阻止url.” 和, notes Ryan, InsightConnect eliminates the drudge work. “当我们屏蔽一个URL时, 或域, 或IP地址, there are three or four different places we need to block it. 如果我们使用InsightConnect工作流，它会在正确的地方被阻塞，每次都是这样. This consistency is huge.”

24/7 Coverage 和 Faster Response Times

InsightConnect has definitely improved their response coverage. “以前，我们是朝九晚五，从周一到周五的那种商店. We didn’t have any paging or anything like that. 有了InsightConnect，我们已经变成了一个24/7的商店，而不需要增加员工. 现在我们有三到四种不同的警报类型，我们预先定义了我们应该在半夜叫醒哪些警报. We couldn’t have done that without InsightConnect.”

Ryan also has seen improved response times, 特别是在潜在的勒索软件攻击等关键情况下. “我们利用InsightConnect将我们的寻呼系统与我们的警报系统进行了整合. 现在我们的分析师只有在真正重要的时候才会在半夜被叫醒, so our response time is super-fast. 如果是勒索软件, 我们的分析人员可以直接将主机与手机隔离，而不用等20分钟让电脑启动并登录. 这是非常关键的. That’s been a huge value for us.” 

A Library of Pre-built Workflows

与InsightConnect, Ryan可以快速找到并利用其他人的工作构建无数的工作流.“One of the reasons I love InsightConnect is if I’m stumped, I can find a workflow in the Rapid7 扩展库. If it’s not the exact workflow I need, 可以导入, 看看是怎么做的, 和 then 应用 that to my own workflow.瑞恩解释道, each workflow is often comparable to a previous one, so he can add multiple workflows pretty quickly. 展望未来, 布鲁克斯团队将开始与Active 导演y团队合作，使用InsightConnect自动终止用户帐户. 

瑞安继续说道:“在安全领域，你三分之一的工作就是证明东西坏了不是你的错. “我的工作流程可以查看我拥有的工具的配置日志, 例如防火墙, 和 it shows all configuration changes over the last 24 hours. 这样我就知道是我做了改变，还是队友做了改变. 使用InsightConnect，可以更快地证明这不是你的错. We’ve used it in many different ways. A lot of what we do is ad hoc workflows through Teams. 这是新的. We’ve found a lot of value from that.”

Ryan认为，InsightConnect帮助他的安全团队有效地应对了公司的飞速增长. “We’re adopting additional security tools as we grow. 随着我们增加更多的IT和安全系统，我们将它们集成到InsightConnect中. If we had all these different security tools, 这意味着我们需要花更多时间在不同的主机上，从一个主机切换到另一个主机. 但是，支持API的新安全工具不会增加复杂性, just more available functionality. 拥有InsightConnect的自动化优势几乎就像使用操作系统一样. 你只需插入下一个应用程序，它就会与其他用户和系统集成，”瑞安说.

Saving Manpower 和 Maximizing 分析师’s Time

对于Ryan来说，InsightConnect自动化节省时间的好处是显而易见的. “In terms of metrics 和 looking at the dashboard, InsightConnect has definitely freed up analyst time. 我估计它每个月可以节省11天或88小时的人力, just based on the workflows we run. InsightConnect also reduces our time to response 和 resolution, 这有助于减轻任何进入公司的威胁.” 

Ryan继续说道:“如果你把InsightConnect从我们的分析师手中夺走，那将会使我们士气低落. “They would have to do the manual processes all over again. InsightConnect helps us scale our team more efficiently. 随着我们获得更多的活动，增加新的业务和更多的流程，InsightConnect帮助我们跟上. We just had a new analyst start 和 he said, “我以前从未见过这样的事情(指的是现有的自动化水平)。. 他的工作变得容易了，因为他不需要学习从哪里获得所有的信息. 和, now he has a channel that shows him all the comm和s he can use, 和 he doesn’t need to log in everywhere. The security processes are consistent no matter what.