Rapid7 insightIDR gennemgang og alternativer
Rapid7 insightIDR bruger innovative teknikker til at spotte netværksindtrængen og insidertrusler. Ved at bruge al den indsigt, som den flerstrengede SIEM-tilgang kan tilbyde, fremskynder insightIDR registreringsprocessen og lukker angrebet ned.
SIEM-strategien
SIEM er et sammensat udtryk. Det kombinerer HVILKEN og Ja . SEM står for Håndtering af sikkerhedshændelser ; SEM-systemer samler aktivitetsdata i realtid. SIM står for Sikkerhedsinformationsstyring , som involverer scanning af logfiler for tegn på mistænkelige aktiviteter. SIEM kombinerer disse to strategier til Sikkerhedsinformation og Event Management.
Traditionel systemer til registrering af indtrængen (IDS'er) fanger trafikdata og undersøger overskrifterne på pakker for at analysere aktivitet. En IDS-monitor kategoriserer hurtigt al trafik efter kilde- og destinations-IP-adresser og portnumre. Disse to identifikatorer kan derefter refereres til specifikke enheder og endda specifikke brugere. Portnummerreferencen kan forklare de protokoller og applikationer, som hver transmission vedrører. Dette er SEM-strategien.
SEM er fantastisk til at opdage stigninger af udgående data, der kan repræsentere datatyveri. Det kan dog ikke fortælle, om en udgående fil er en liste over kundekreditkort eller et salgstal, der går ud til en potentiel kunde. Når indhold er krypteret, har SEM-systemer endnu mindre chance for at fortælle, om en transmission er legitim. Det er endnu sværere at identificere uautoriserede handlinger en autoriseret bruger af netværket står bag datatyveriet.
En SEM-strategi er tiltalende pga det er øjeblikkeligt men hastighed er ikke altid en vinderformel. SIM tilbyder stealth. Det involverer behandling af både hændelses- og logmeddelelser fra mange forskellige punkter rundt i systemet. Den leder efter kendte kombinationer af handlinger, der indikerer ondsindede aktiviteter. SIM er bedre til identificere insidertrusler og avancerede vedvarende trusler, fordi den kan opdage, når en autoriseret brugerkonto viser uventet adfærd. Så det kan identificere databrud og systemangreb af brugerkonto, hvilket fører til fokus på, om den pågældende konto er blevet kapret, eller om brugeren af den pågældende konto er blevet tvunget til at samarbejde. SIEM tilbyder en kombination af hastighed og stealth.
Om Rapid7
Rapid7 har arbejdet inden for cyberforsvar i 20 år. Virksomheden driver et konsulentfirma for at hjælpe virksomheder med at hærde deres systemer mod angreb, og det reagerer også på nødopkald fra organisationer under angreb.
Udover at teste systemer og rydde op efter hackere, producerer virksomheden sikkerhedssoftware og tilbyder en administreret sikkerhedstjeneste.
Rapid7 driver et forskningslaboratorium, der afsøger verden efter nye angrebsstrategier og formulerer forsvar. Laboratoriet bruger virksomhedernes egne værktøjer til at undersøge bedrifter og finde ud af, hvordan de kan lukkes ned. Det mest berømte værktøj i Rapid7's arsenal er Metasploit . Dette er et open source-projekt, der producerer penetrationstestværktøjer. Når Rapid7 vurderer en kundes system for sårbarheder, sender den en rapport, der viser, hvordan konsulentfirmaets personale formåede at bryde dette system.
Fordele:
- Udnytter adfærdsanalyse til at opdage trusler, der omgår signaturbaseret detektion
- Bruger flere datastrømme for at have de mest opdaterede trusselsanalysemetoder
- Giver mulighed for robust automatiseret udbedring
Ulemper:
- Priserne er højere end tilsvarende værktøjer på markedet
- Nogle funktioner kræver muligvis betalte plugins
insightIDR er en del af menuen for systemforsvarssoftware at Rapid7 udviklede sig fra sin indsigt i hackerstrategier. Rapid7 tilbyder en gratis prøveperiode .
insightIDR funktioner
InsightIDR er en indtrængen detektion og respons system , hostet på skyen. Intrusion detection-delen af værktøjets muligheder bruger SIEM-strategier. Den log, der konsoliderer dele af systemet, udfører også logstyringsopgaver. Værktøjet strækker sig endda ud over typiske SIEM-grænser ved at implementere handlinger for at lukke ned for indtrængen i stedet for blot at identificere dem.
Mekanismer i insightIDR reducerer forekomsten af falsk rapportering. Med så mange forskellige dataindsamlingspunkter og detektionsalgoritmer kan en netværksadministrator blive oversvømmet af et flittigt SIEM-værktøjs advarsler. Information er kombineret og tilknyttede begivenheder er grupperet i én advarsel i administrationsdashboardet. insightIDR reducerer den tid, en administrator skal bruge på at overvåge rapporterne fra systemforsvarsværktøjet.
Her er nogle af hovedelementerne i insightIDR.
Brugeradfærdsanalyse
Et stort problem med sikkerhedssoftware er falsk positiv detektionsrate . Mange systemer til beskyttelse mod indtrængen garanterer at blokere uautoriseret aktivitet, men blokerer samtidig alle i virksomheden fra at udføre deres arbejde.
Den eneste løsning på falske positiver er at kalibrere forsvarssystemet for at skelne mellem legitime aktiviteter og ondsindede hensigter. Brugeradfærdsanalysemodulet i insightIDR har til formål at gøre netop det. Dette modul opretter en baseline for normal aktivitet pr. bruger og/eller brugergruppe. Hvis adfærdsmønstre pludselig ændrer sig, skal det tætte system undersøge de mistænkelige beretninger. De kan være blevet kapret.
At observere hver bruger samtidigt kan ikke være en manuel opgave. Det er dog nødvendigt for at opdage og lukke ned for både typiske og innovative hackerkontomanipulationsstrategier. Denne opgave kan kun udføres af en automatiseret proces. Det kræver sofistikerede metoder, som f.eks maskinelæring , for at forhindre systemet i at blokere legitime brugere.
Angriberadfærdsanalyse
Attacker Behavior Analytics (ABA) er esset i ærmet Rapid7. Denne funktion er produktet af tjenesten års forskning og konsulentarbejde . Rapid7-analytikere arbejder hver dag på at kortlægge angreb til deres kilder og identificerer puljer af strategier og adfærdsmønstre, som hver hackergruppe kan lide at bruge.
Forskningen fra Rapid7's analytikere bliver kortlagt i ' angrebskæder .' Hvis Hacker Group A kom ind og gjorde X, vil du sandsynligvis blive ramt af Y og derefter Z, fordi det er hvad Hacker Group A altid gør. Så Attacker Behavior Analytics genererer advarsler. Så snart X opstår, kan holdet hærde systemet mod Y og Z og samtidig lukke ned for X.
Slutpunktsbeskyttelse
De analytiske funktioner i insightIDR udføres alle på Rapid7-serveren. Dette er fantastisk til at lette belastningen på klientwebsteders infrastruktur, men det introducerer en potentiel svaghed. Ikke alle enheder kan kontaktes på tværs af internettet hele tiden. Hvis alle detektionsrutiner er fjernbaserede, skal en kyndig hacker blot skære eller opsnappe og manipulere med den forbindelse.
For at bekæmpe denne svaghed inkluderer insightIDR Indsigtsagent . Dette er et stykke software, der skal installeres på hvert overvåget slutpunkt. Insight Agent er i stand til at fungere uafhængigt og uploade data eller downloade opdateringer, når en forbindelse bliver tilgængelig. Mens den overvågede enhed er offline, fortsætter agenten med at arbejde.
I SIEM-modellen udgør Insight Agents aktiviteter indsamling af hændelses- og logmeddelelser og også generering af originale logposter gennem realtidsovervågning. Mens en forbindelse opretholdes, vil Insight Agent streamer alle disse logdata op til Rapid7-serveren for korrelation og analyse. Agenten er dog også i stand til at udsende alarmer lokalt og træffe foranstaltninger for at lukke ned for opdagede angreb.
Slutpunkter er det ideelle sted til at undersøge brugeradfærd, hvor hver agent kun har én bruger at fokusere på. Indsigt fra denne overvågningsproces er centraliseret, hvilket gør det muligt for Rapid7-analysemotoren at identificere samtaler, vaner og uventede forbindelser. Brugerovervågning er et krav vedr NIST FIPS .
Netværkstrafikanalyse
SEM-delen af SIEM er stærkt afhængig af overvågning af netværkstrafik . Netværkstrafikanalysemodulet i insightIDR er en kernedel af SEM-sektionerne af systemet.
Dataene hentet fra netværksovervågning er nyttige i realtid til sporing af ubudne gæsters bevægelser, og udtræk bidrager også til loganalyseprocedurer. Så netværksdata er en del af både SEM- og SIM-procedurer i Rapid7 insightIDR.
Centraliseret logstyring
SIM-metoder kræver en intens analyse af logfilerne. For at fuldføre dette arbejde skal logmeddelelser centraliseres, så alle hændelses- og syslogmeddelelser plus aktivitetsdata genereret af SEM-modulerne bliver uploadet til Rapid7-serveren. SIM kræver, at logposter omorganiseres til et standardformat. Så som en bonus fungerer insightIDR som en logserver og konsolidator .
insightIDR gemmer logdata i 13 måneder. I de første tre måneder er loggene umiddelbart tilgængelige til analyse. I de resterende 10 måneder arkiveres logdata, men kan tilbagekaldes. Data er beskyttet af kryptering, mens de opbevares, så denne løsning giver dig mulighed for at overholde en række datasikkerhedsstandarder, bl.a. SOX og PCI DSS .
Filintegritetsovervågning (FIM)
Filintegritetsovervågning (FIM) er en velkendt strategi til systemforsvar. Det er særligt vigtigt at beskytte logfiler mod manipulation, fordi ubudne gæster, der dækker deres spor, bare vil gå ind og fjerne belastende optegnelser.
Adskillige datasikkerhedsstandarder kræver overvågning af filintegritet. Disse omfatter PCI DSS , HIPAA , og GDPR . Så FIM-modulet i insightIDR er endnu en bonus for de virksomheder, der skal følge en af disse standarder. De behøver ikke at købe separate FIM-systemer.
Denne funktion udføres af den Insight Agent, der er installeret på hver enhed. InsightIDR-konsollen giver systemadministratoren mulighed for at nominere specifikke mapper, filer eller filtyper til beskyttelse. Forudskrevne skabeloner anbefaler specifikke datakilder i henhold til en bestemt datasikkerhedsstandard.
Beskyttelse af filer mod manipulation afværger en masse arbejde, der ville være nødvendigt for at komme sig efter en opdaget ubuden gæst. Virksomheder skal ikke bare bekymre sig om datatabshændelser . Datasikkerhedsstandarder tillader nogle hændelser. Din virksomhed vil dog kræve compliance-revision af et eksternt konsulentfirma, og hvis et urapporteret brud bliver opdaget, vil din virksomhed være i reelle problemer.
Bedrag teknologi
SIEM-systemer identificerer normalt kun mulige indtrængen eller datatyverihændelser; der er ikke mange systemer, der implementerer svar. Rapid7 insightIDR er et af de meget få SIEM-systemer, der implementerer smart teknologi til fange ubudne gæster . Deception Technology er insightIDR-modulet, der implementerer avanceret beskyttelse af systemer.
Detektionsteknologistrategien for insightIDR skaber honningkrukker at tiltrække ubudne gæster væk fra de rigtige lagre af værdifulde data ved at skabe tilsyneladende nemme veje ind i systemet. Disse falske spor fører til blindgyder og øjeblikkelige trip-advarsler. Teknikkerne brugt i dette modul er udviklet af Metasploit projekt og også Heisenberg-projektet og Projekt Sonar . Disse er igangværende projekter, så forsvarssystemerne i insightIDR udvikler sig konstant for at tage højde for hackerforsigtighed i forhold til tidligere erfaringer med honeypots.
Automatisering
IDR står for 'jeg ncident detektion og respons .' Opgaveautomatisering implementerer ' R ” i IDR. Responselementerne i insightIDR kvalificerer værktøjet til at blive kategoriseret som et system til forebyggelse af indtrængen. Typisk interagerer IPS'er med firewalls og adgangsretssystemer for straks at blokere adgangen til systemet til mistænkelige konti og IP-adresser.
Andre kontoovervågningsfunktioner inkluderer sårbarhedsscanning at opdage og suspendere forladte brugerkonti. Rapid7 insightIDR implementerer forsvarsautomatisering forud for ethvert angreb for at hærde det beskyttede system og implementerer også automatiserede processer for at lukke opdagede hændelser ned.
Alternativer til Rapid7 insightIDR
insightIDR er et omfattende og innovativt SIEM-system. Det er dog ikke den eneste banebrydende SIEM på markedet. For at lære mere om SIEM-systemer, tag et kig på vores indlæg om bedste SIEM-værktøjer .
Hvis du ikke har tid til at læse en detaljeret liste over anmeldelser af SIEM-værktøjer, er her en hurtig liste over de vigtigste konkurrenter til Rapid7 InsightIDR.
- SolarWinds Security Event Manager (GRATIS PRØVE) Et SIEM-værktøj fra SolarWinds, der inkluderer hændelsesrespons i realtid. Denne software installeres på Windows Server og inkluderer overholdelsesovervågning og rapportering ud af kassen. Start en 30-dages gratis prøveperiode.
- ManageEngine EventLog Analyzer (GRATIS PRØVE) Giver SIM-funktioner og kan parres med Log360 for SEM-tjenester. Det installeres på Windows og Linux. Start en 30-dages gratis prøveperiode.
- Datadog Sikkerhedsovervågning Et cloud-baseret SIEM-system integreret i et netværksovervågningsværktøj.
- McAfee Enterprise Security Manager Et SIEM-værktøj, der fokuserer på at administrere og forespørge Active Directory. Det installeres på Windows og Mac OS.
- Fortinet FortiSIEM En tæt konkurrent til insightIDR, der inkluderer en række detektionstaktikker plus automatiserede forsvarsreaktioner.
- Splunk Enterprise Security En velkendt netværksscanner, der inkluderer analysefunktioner og logstyringsfunktioner. Det installeres på Windows og Linux.
- OSSEC En gratis open source IDS med stærke loganalyserutiner. Det installeres på Windows, Mac OS, Linux og Unix.
- LogRhythm NextGen SIEM-platform Den bruger AI-teknikker i trafik- og loganalyse. Det installeres på Windows og Linux.
- AT&T Cybersecurity AlienVault Unified Security Management En stærk IDS, der implementerer en række detektionsstrategier, herunder SIEM. Det installeres på Windows og macOS.
Ofte stillede spørgsmål om InsightIDR:
Hvad er InsightIDR?
Insight IDR er et cloud-baseret SIEM-system, der indsamler logbeskeder og oplysninger om live netværksaktivitet og derefter søger gennem disse data efter tegn på ondsindet aktivitet.
Er InsightIDR et SIEM?
Ja. InsightIDR er en SIEM. Det leveres som et SaaS-system.
Hvad bruges Rapid7 insight agent til?
Rapid7 driver en SaaS-platform af cybersikkerhedstjenester, kaldet Rapid7 Insight, der, fordi den er cloud-baseret, kræver en dataindsamler på det system, der bliver beskyttet. Denne samler kaldes Insight Agent. Hvis virksomheden abonnerer på flere Rapid7 Insight-produkter, betjener Insight-agenten dem alle.
Har Rapid7 en SIEM?
Rapid7 tilbyder en række cybersikkerhedssystemer fra sin Insight-platform. Af disse værktøjer fungerer InsightIDR som et SIEM.