Rapid7 insightIDR ülevaade ja alternatiivid
Rapid7 insightIDR kasutab uuenduslikke tehnikaid võrku sissetungi ja siseringi ohtude tuvastamiseks. Kasutades kõiki teadmisi, mida mitmeosaline SIEM-lähenemine võib pakkuda, kiirendab insightIDR tuvastamisprotsessi ja peatab rünnaku.
SIEM-i strateegia
SIEM on liittermin. See ühendab MIS ja Jah . SEM tähistab Turvasündmuste haldamine ; SEM-süsteemid koguvad tegevusandmeid reaalajas. SIM tähistab Turvateabe haldamine , mis hõlmab logifailide skannimist kahtlaste tegevuste märkide tuvastamiseks. SIEM ühendab need kaks strateegiat Turvateabe ja sündmuste haldamine.
Traditsiooniline sissetungi tuvastamise süsteemid (IDS-id) koguvad liiklusandmeid ja uurivad tegevuste analüüsimiseks pakettide päiseid. IDS-monitor kategoriseerib kogu liikluse kiiresti allika ja sihtkoha IP-aadresside ja pordinumbrite järgi. Neid kahte identifikaatorit saab seejärel viidata konkreetsetele seadmetele ja isegi konkreetsetele kasutajatele. Pordinumbri viide võib selgitada protokolle ja rakendusi, millega iga edastus on seotud. See on SEM-i strateegia.
SEM on suurepärane väljaminevate andmete tõusu tuvastamiseks, mis võib kujutada endast andmete vargust. Siiski ei saa see öelda, kas väljaminev fail on klientide krediitkaartide loend või potentsiaalsele kliendile suunatud müügipakkumine. Kui sisu on krüptitud, on SEM-süsteemidel veelgi väiksem võimalus teha kindlaks, kas edastamine on seaduslik. Volitamata toimingute tuvastamine on veelgi raskem, kui volitatud kasutaja andmevarguse taga.
SEM-i strateegia on ahvatlev, kuna see on kohene kuid kiirus ei ole alati võiduvalem. SIM pakub vargsi. See hõlmab nii sündmuste kui ka logiteadete töötlemist paljudest süsteemi erinevatest punktidest. See otsib teadaolevaid toimingute kombinatsioone, mis viitavad pahatahtlikule tegevusele. SIM on parem siseringi ohtude tuvastamine ja täiustatud püsivad ohud, sest see suudab tuvastada, kui volitatud kasutajakonto näitab ootamatut käitumist. Seega suudab see tuvastada kasutajakontode andmetega seotud rikkumisi ja süsteemirünnakuid, mille tulemusel keskendutakse sellele, kas see konto on kaaperdatud või kas selle konto kasutaja on sunditud koostööd tegema. SIEM pakub kiiruse ja varguse kombinatsiooni.
Rapid7 kohta
Rapid7 on küberkaitse valdkonnas tegutsenud 20 aastat. Ettevõte juhib nõustamisteenust, mis aitab ettevõtetel oma süsteeme rünnakute vastu tugevdada, ning vastab ka rünnatud organisatsioonide hädaabikõnedele.
Lisaks süsteemide testimisele ja häkkerite järel puhastamisele toodab ettevõte turvatarkvara ja pakub hallatavat turvateenust.
Rapid7 haldab uurimislaborit, mis otsib maailmast uusi ründestrateegiaid ja koostab kaitsemehhanisme. Labor kasutab ärakasutamiste uurimiseks ja nende sulgemiseks ettevõtete enda tööriistu. Rapid7 relvastuse kuulsaim tööriist on Metasploit . See on avatud lähtekoodiga projekt, mis toodab läbitungimise testimise tööriistu. Kui Rapid7 hindab kliendi süsteemi haavatavust, saadab ta aruande, mis näitab, kuidas konsultatsioonifirmade töötajad suutsid süsteemi murda.
Plussid:
- Kasutab käitumisanalüütikat, et tuvastada ohud, mis mööduvad allkirjapõhisest tuvastamisest
- Kasutab mitut andmevoogu, et omada kõige ajakohasemaid ohuanalüüsi metoodikaid
- Võimaldab tugevat automaatset parandamist
Miinused:
- Hinnakujundus on kõrgem kui sarnastel turul pakutavatel tööriistadel
- Mõned funktsioonid võivad vajada tasulisi pistikprogramme
insightIDR on osa menüüst süsteemi kaitsetarkvara et Rapid7 arenes välja oma arusaamadest häkkeristrateegiatesse. Rapid7 pakub tasuta prooviversiooni .
insightIDR funktsioonid
InsightIDR on sissetungi tuvastamise ja reageerimise süsteem , hostitud pilves. Tööriista võimaluste sissetungi tuvastamise osa kasutab SIEM-i strateegiaid. Logi, mis ühendab süsteemi osi, täidab ka logihaldusülesandeid. Tööriist ulatub isegi väljapoole tüüpilisi SIEM-i piire, rakendades toiminguid sissetungimise peatamiseks, mitte ainult nende tuvastamiseks.
InsightIDR-i mehhanismid vähendavad valeteadete esinemissagedust. Nii paljude erinevate andmekogumispunktide ja tuvastusalgoritmide tõttu võivad võrguadministraatorid hoolsa SIEM-tööriista hoiatustest kinni jääda. Teave kombineeritakse ja seotud sündmused on rühmitatud haldamise armatuurlaual üheks hoiatuseks. insightIDR vähendab aega, mille administraator peab kulutama süsteemi kaitsetööriista aruannete jälgimisele.
Siin on mõned insightIDR-i põhielemendid.
Kasutaja käitumise analüüs
Turvatarkvara suur probleem on valepositiivse avastamise määr . Paljud sissetungimise kaitsesüsteemid tagavad volitamata tegevuse blokeerimise, kuid samal ajal takistavad kõigil ettevõttes osalejatel oma tööd teha.
Ainus lahendus valepositiivsetele tulemustele on kaitsesüsteemi kalibreerimine, et teha vahet legitiimsete tegevuste ja pahatahtlike kavatsuste vahel. InsightIDRi kasutajakäitumise analüüsi mooduli eesmärk on just seda teha. See moodul loob normaalse aktiivsuse lähtepunkt kasutaja ja/või kasutajarühma kohta. Kui käitumismustrid äkitselt muutuvad, peab tihe süsteem kahtlasi kontosid uurima. Need võidi kaaperdatud.
Kõigi kasutajate samaaegne jälgimine ei saa olla käsitsi tehtav ülesanne. See on aga vajalik nii tüüpiliste kui ka uuenduslike häkkerite kontoga manipuleerimise strateegiate tuvastamiseks ja sulgemiseks. Seda ülesannet saab täita ainult automatiseeritud protsessi abil. See nõuab keerukaid metoodikaid, nagu masinõpe , et süsteem ei blokeeriks seaduslikke kasutajaid.
Ründaja käitumise analüüs
Attacker Behavior Analytics (ABA) on Rapid7 äss. See funktsioon on teenuse toode aastatepikkust uurimis- ja konsultatsioonitööd . Rapid7 analüütikud töötavad iga päev, et kaardistada rünnakud nende allikatega, tuvastades strateegiate kogumit ja käitumismustreid, mida iga häkkerirühm soovib kasutada.
Rapid7 analüütikute uuringud kaardistatakse ' ründeahelad .” Kui häkkerite rühm A pääses sisse ja tegi X, siis tõenäoliselt tabab teid Y ja seejärel Z, sest häkkerite rühm A teeb seda alati. Seega loob ründajate käitumisanalüüs hoiatusi. Niipea kui X ilmneb, saab meeskond tugevdada süsteemi Y ja Z vastu, samal ajal X välja lülitades.
Lõpp-punkti kaitse
InsightIDR-i analüütilisi funktsioone teostatakse Rapid7 serveris. See on suurepärane kliendisaitide infrastruktuuri koormuse leevendamiseks, kuid see toob kaasa potentsiaalse nõrkuse. Kõigi seadmetega ei saa kogu aeg Interneti kaudu ühendust võtta. Kui kõik tuvastamisrutiinid on kaugpõhised, peab tark häkker selle ühenduse lihtsalt katkestama või pealtkuulama ja muutma.
Selle nõrkuse vastu võitlemiseks sisaldab insightIDR järgmist Insight Agent . See on tarkvara, mis tuleb installida igasse jälgitavasse lõpp-punkti. Insight Agent suudab töötada iseseisvalt ja laadida üles andmeid või alla laadida värskendusi alati, kui ühendus muutub kättesaadavaks. Kui jälgitav seade on võrguühenduseta, töötab agent edasi.
SIEM-i mudelis hõlmab Insight Agenti tegevus sündmuste ja logiteadete kogumist ning ka algsete logikirjete genereerimist reaalajas jälgimise kaudu. Ühenduse säilimise ajal on Insight Agent voogesitab kõiki neid logiandmeid kuni Rapid7 serverini korrelatsiooniks ja analüüsiks. Kuid agent on võimeline ka kohapeal hoiatusi edastama ja avastatud rünnakute sulgemiseks meetmeid võtma.
Lõpp-punktid on ideaalne koht kasutaja käitumise uurimiseks, kuna igal agendil on ainult üks kasutaja, kellele keskenduda. Sellest jälgimisprotsessist kogutud ülevaated on tsentraliseeritud, võimaldades Rapid7 analüütilisel mootoril tuvastada vestlusi, harjumusi ja ootamatuid seoseid. Kasutaja jälgimine on nõutav NIST FIPS .
Võrguliikluse analüüs
SIEM-i SEM-i osa sõltub suuresti võrguliikluse jälgimine . InsightIDR võrguliikluse analüüsi moodul on süsteemi SEM-i sektsioonide põhiosa.
Võrgu jälgimisest saadud andmed on kasulikud reaalajas sissetungijate liikumise jälgimiseks ja väljavõtted aitavad kaasa ka logianalüüsi protseduuridele. Seega on võrguandmed osa Rapid7 insightIDR-is nii SEM-i kui ka SIM-i protseduuridest.
Tsentraliseeritud logihaldus
SIM-meetodid nõuavad logifailide intensiivset analüüsi. Selle töö lõpuleviimiseks tuleb logiteated tsentraliseerida, nii et kõik sündmuste ja syslogi sõnumid ning SEM-moodulite genereeritud tegevusandmed laetakse üles Rapid7 serverisse. SIM nõuab logikirjete ümberkorraldamist standardvormingusse. Seega toimib insightIDR boonusena kui logiserver ja koondaja .
insightIDR salvestab logiandmeid 13 kuud. Esimesed kolm kuud on logid kohe analüüsimiseks kättesaadavad. Ülejäänud 10 kuu jooksul logiandmed arhiveeritakse, kuid neid saab tagasi kutsuda. Andmed on salvestamisel kaitstud krüptimisega, nii et see lahendus võimaldab teil järgida mitmesuguseid andmeturbestandardeid, sealhulgas SOX ja PCI DSS .
Failide terviklikkuse jälgimine (FIM)
Failide terviklikkuse jälgimine (FIM) on hästi tuntud süsteemikaitse strateegia. Eriti oluline on kaitsta logifaile rikkumiste eest, sest nende jälgi varjavad sissetungijad lihtsalt sisenevad ja eemaldavad süüdistavad kirjed.
Mitmed andmeturbestandardid nõuavad failide terviklikkuse jälgimist. Need sisaldavad PCI DSS , HIPAA ja GDPR . Seega on insightIDR-i FIM-moodul veel üks boonus neile ettevõtetele, kes peavad järgima üht neist standarditest. Nad ei pea ostma eraldi FIM-süsteeme.
Seda funktsiooni täidab igasse seadmesse installitud Insight Agent. InsightIDR-i konsool võimaldab süsteemihalduril määrata kaitseks konkreetsed kataloogid, failid või failitüübid. Eelkirjutatud mallid soovitavad konkreetseid andmeallikaid vastavalt konkreetsele andmeturbestandardile.
Failide rikkumiste eest kaitsmine hoiab ära palju tööd, mida oleks vaja tuvastatud sissetungijate eest taastumiseks. Ettevõtted ei pea lihtsalt muretsema andmekao sündmused . Andmeturbe standardid lubavad mõningaid intsidente. Kuid teie ettevõte nõuab välise konsultatsioonifirma vastavusauditit ja kui avastatakse teatamata jäetud rikkumine, on teie ettevõte tõelistes raskustes.
Pettuse tehnoloogia
SIEM-süsteemid tuvastavad tavaliselt võimaliku sissetungi või andmete varguse; vastuseid rakendavaid süsteeme pole palju. Rapid7 insightIDR on üks väheseid SIEM-süsteeme, mis kasutavad nutikat tehnoloogiat lõksu sissetungijad . Deception Technology on insightIDR moodul, mis rakendab süsteemide täiustatud kaitset.
InsightIDRi tuvastamistehnoloogia strateegia loob meepotid et meelitada sissetungijaid väärtuslike andmete tegelikest hoidlatest eemale, luues näiliselt lihtsaid viise süsteemi. Need valejäljed viivad ummikutesse ja hoiatavad koheselt komistama. Selles moodulis kasutatud tehnikad töötas välja Metasploiti projekt ja ka Heisenbergi projekt ja Projekt Sonar . Need on käimasolevad projektid, nii et insightIDR-i kaitsesüsteemid arenevad pidevalt, et võtta arvesse häkkerite ettevaatust võrreldes varasemate meepottidega kogemustega.
Automatiseerimine
IDR tähendab 'i juhtumite tuvastamine ja reageerimine .” Ülesande automatiseerimine rakendab R ” IDR-is. InsightIDR-i vastuseelemendid kvalifitseerivad tööriista sissetungimise vältimise süsteemiks. Tavaliselt suhtlevad IPS-id tulemüüride ja juurdepääsuõiguste süsteemidega, et koheselt blokeerida juurdepääs kahtlastele kontodele ja IP-aadressidele.
Muud konto jälgimise funktsioonid hõlmavad haavatavuse skannimine hüljatud kasutajakontode tuvastamiseks ja peatamiseks. Rapid7 insightIDR juurutatakse kaitseautomaatika enne mis tahes rünnakut, et tugevdada kaitstud süsteemi, ja rakendab tuvastatud juhtumite sulgemiseks ka automatiseeritud protsesse.
Rapid7 insightIDR alternatiivid
insightIDR on terviklik ja uuenduslik SIEM-süsteem. See pole aga ainus tipptasemel SIEM turul. SIEM-süsteemide kohta lisateabe saamiseks vaadake meie postitust teemal parimad SIEM-i tööriistad .
Kui teil pole aega SIEM-i tööriistade arvustuste üksikasjalikku loendit lugeda, on siin kiire loend Rapid7 InsightIDR peamistest konkurentidest.
- SolarWindsi turvasündmuste haldur (TASUTA PROOVIversioon) SolarWindsi SIEM-tööriist, mis sisaldab reaalajas reageerimist intsidentidele. See tarkvara installitakse Windows Serverisse ja sisaldab vastavuse jälgimist ja aruandlust juba karbist välja. Alustage 30-päevast tasuta prooviperioodi .
- ManageEngine EventLog Analyzer (TASUTA prooviversioon) Pakub SIM-i funktsioone ja saab siduda SEM-teenuste jaoks Log360-ga. See installitakse Windowsi ja Linuxi jaoks. Alustage 30-päevast tasuta prooviperioodi .
- Datadogi turvaseire Pilvepõhine SIEM-süsteem, mis on integreeritud võrgu jälgimise tööriista.
- McAfee Enterprise Security Manager SIEM-i tööriist, mis keskendub Active Directory haldamisele ja päringute tegemisele. See installitakse Windowsi ja Mac OS-i.
- Fortinet FortiSIEM InsightIDR-i lähedane konkurent, mis sisaldab mitmesuguseid tuvastamistaktikaid ja automaatseid kaitsereaktsioone.
- Splunk Enterprise Security Tuntud võrguskanner, mis sisaldab analüüsifunktsioone ja logihaldusvõimalusi. See installitakse Windowsi ja Linuxi jaoks.
- OSSEC Tasuta avatud lähtekoodiga IDS tugevate logianalüüsi rutiinidega. See installitakse opsüsteemidesse Windows, Mac OS, Linux ja Unix.
- LogRhythm NextGen SIEM platvorm See kasutab liiklus- ja logianalüüsis tehisintellekti tehnikaid. See installitakse Windowsi ja Linuxi jaoks.
- AT&T küberturvalisuse AlienVault ühtne turbehaldus Tugev IDS, mis rakendab mitmesuguseid tuvastamisstrateegiaid, sealhulgas SIEM-i. See installitakse Windowsi ja macOS-i.
InsightIDR KKK:
Mis on InsightIDR?
Insight IDR on pilvepõhine SIEM-süsteem, mis kogub logiteateid ja reaalajas võrgutegevuse teavet ning seejärel otsib nendest andmetest pahatahtliku tegevuse märke.
Kas InsightIDR on SIEM?
Jah. InsightIDR on SIEM. See tarnitakse SaaS-süsteemina.
Milleks Rapid7 ülevaateagenti kasutatakse?
Rapid7 haldab küberturbeteenuste SaaS-i platvormi Rapid7 Insight, mis pilvepõhisena nõuab kaitstavas süsteemis andmekogujat. Seda kogujat nimetatakse Insight Agentiks. Kui ettevõte tellib mitu Rapid7 Insighti toodet, teenindab Insight Agent neid kõiki.
Kas Rapid7-l on SIEM?
Rapid7 pakub oma Insighti platvormilt mitmesuguseid küberturbesüsteeme. Nendest tööriistadest töötab InsightIDR SIEM-ina.