Rapid7 insightIDR Recenze a alternativy
Rapid7 insightIDR využívá inovativní techniky k odhalení narušení sítě a vnitřních hrozeb. Využitím všech poznatků, které může nabídnout víceúrovňový přístup SIEM, insightIDR urychlí proces detekce a zastaví útok.
Strategie SIEM
SIEM je složený termín. Kombinuje se KTERÝ a Ano . SEM znamená Správa bezpečnostních událostí ; Systémy SEM shromažďují data o aktivitě v reálném čase. SIM znamená Správa bezpečnostních informací , což zahrnuje prohledávání souborů protokolů, zda nevykazují známky podezřelých aktivit. SIEM kombinuje tyto dvě strategie do Bezpečnostní informace a správa událostí.
Tradiční systémy detekce narušení (IDS) zachycují provozní data a zkoumají hlavičky paketů za účelem analýzy aktivity. Monitor IDS rychle kategorizuje veškerý provoz podle zdrojových a cílových IP adres a čísel portů. Tyto dva identifikátory pak lze odkazovat na konkrétní zařízení a dokonce i na konkrétní uživatele. Odkaz na číslo portu může vysvětlit protokoly a aplikace, kterých se každý přenos týká. Toto je strategie SEM.
SEM je skvělý pro zjištění nárůstu odchozích dat, která by mohla představovat krádež dat. Nedokáže však říci, zda je odchozí soubor seznamem zákaznických kreditních karet nebo prodejním prezentacím, které je předáno potenciálnímu zákazníkovi. Když je obsah zašifrován, systémy SEM mají ještě menší šanci zjistit, zda je přenos legitimní. Identifikace neoprávněných akcí je ještě těžší, pokud oprávněného uživatele sítě stojí za krádeží dat.
Strategie SEM je přitažlivá, protože je to okamžité ale rychlost není vždy vítězný vzorec. SIM nabízí stealth. Zahrnuje zpracování zpráv událostí i protokolů z mnoha různých míst v systému. Hledá známé kombinace akcí, které naznačují škodlivé aktivity. SIM je na tom lépe identifikace vnitřních hrozeb a pokročilé trvalé hrozby, protože dokáže rozpoznat, když účet oprávněného uživatele vykazuje neočekávané chování. Dokáže tedy identifikovat narušení dat a systémové útoky podle uživatelského účtu, což vede k tomu, že se zaměří na to, zda byl daný účet unesen nebo zda byl uživatel tohoto účtu donucen ke spolupráci. SIEM nabízí kombinaci rychlosti a stealth.
O Rapid7
Rapid7 působí v oblasti kybernetické obrany již 20 let. Společnost provozuje poradenskou činnost, která pomáhá firmám posilovat jejich systémy proti útokům, a také reaguje na tísňová volání od napadených organizací.
Kromě testování systémů a čištění po hackerech společnost vyrábí bezpečnostní software a nabízí řízenou bezpečnostní službu.
Rapid7 provozuje výzkumnou laboratoř, která hledá ve světě nové útočné strategie a formuluje obranu. Laboratoř používá vlastní nástroje společností k prozkoumání exploitů a k řešení, jak je zavřít. Nejznámějším nástrojem ve zbrojovce Rapid7 je Metasploit . Jedná se o open-source projekt, který produkuje nástroje pro penetrační testování. Když Rapid7 posoudí zranitelnost systému klienta, odešle zprávu, která ukazuje, jak se pracovníkům poradenských společností podařilo tento systém prolomit.
Klady:
- Využívá behaviorální analytiku k detekci hrozeb, které obcházejí detekci založenou na signaturách
- Využívá více datových toků, aby měl k dispozici nejaktuálnější metodiky analýzy hrozeb
- Umožňuje robustní automatizovanou nápravu
Nevýhody:
- Cena je vyšší než u podobných nástrojů na trhu
- Některé funkce mohou vyžadovat placené pluginy
insightIDR je součástí nabídky software pro obranu systému který Rapid7 vyvinul na základě svých poznatků o hackerských strategiích. Rapid7 nabízí bezplatnou zkušební verzi .
Funkce insightIDR
InsightIDR je systém detekce a reakce na narušení , hostované v cloudu. Část možností nástroje pro detekci narušení využívá strategie SIEM. Protokol, který konsoliduje části systému, také provádí úlohy správy protokolů. Tento nástroj dokonce přesahuje typické hranice SIEM tím, že implementuje akce k zastavení narušení spíše než jen je identifikuje.
Mechanismy v insightIDR snižují výskyt falešných zpráv. S tolika různými body sběru dat a detekčními algoritmy může správce sítě zaplavit upozornění pilného nástroje SIEM. Informace jsou kombinovány a související události jsou seskupeny do jedné výstrahy na řídicím panelu. insightIDR snižuje množství času, které musí administrátor strávit sledováním zpráv nástroje obrany systému.
Zde jsou některé z hlavních prvků insightIDR.
Analýza chování uživatelů
Velkým problémem bezpečnostního softwaru je míra falešně pozitivní detekce . Mnoho systémů ochrany proti narušení zaručuje blokování neoprávněné činnosti, ale současně blokuje všem v podniku vykonávat jejich práci.
Jediným řešením falešných poplachů je zkalibrovat obranný systém tak, aby rozlišoval mezi legitimními aktivitami a zlými úmysly. Modul User Behavior Analytics v insightIDR si to klade za cíl. Tento modul vytváří základ normální aktivity za uživatele a/nebo skupinu uživatelů. Pokud se vzorce chování náhle změní, hustý systém musí prozkoumat podezřelé účty. Možná byli uneseni.
Sledování všech uživatelů současně nemůže být manuální úkol. Je to však nutné k odhalení a vypnutí typických i inovativních strategií manipulace s účty hackerů. Tento úkol lze provést pouze automatizovaným procesem. Vyžaduje to sofistikované metodiky, jako např strojové učení , aby systém nemohl blokovat legitimní uživatele.
Analýza chování útočníků
Attacker Behavior Analytics (ABA) je esem v rukávu Rapid7. Tato funkce je produktem služby let výzkumné a poradenské práce . Analytici Rapid7 pracují každý den na mapování útoků na jejich zdroje a na identifikaci skupin strategií a vzorců chování, které každá skupina hackerů ráda používá.
Výzkum analytiků Rapid7 se mapuje do „ řetězy útoku .“ Pokud se hackerská skupina A dostane dovnitř a udělá X, pravděpodobně vás zasáhne Y a pak Z, protože to je to, co hackerská skupina A vždy dělá. Analytika chování útočníků tedy generuje varování. Jakmile nastane X, tým může posílit systém proti Y a Z a zároveň vypnout X.
Endpoint Protection
Všechny analytické funkce insightIDR se provádějí na serveru Rapid7. To je skvělé pro odlehčení infrastruktury klientských webů, ale představuje potenciální slabinu. Ne všechna zařízení lze neustále kontaktovat přes internet. Pokud jsou všechny detekční rutiny založeny na dálku, důvtipný hacker musí toto spojení přerušit nebo zachytit a manipulovat s ním.
Pro boj s touto slabinou zahrnuje insightIDR Insight agent . Jedná se o software, který je třeba nainstalovat na každý monitorovaný koncový bod. Agent Insight je schopen fungovat nezávisle a nahrávat data nebo stahovat aktualizace, kdykoli je k dispozici připojení. Zatímco je monitorované zařízení offline, agent dále pracuje.
V modelu SIEM představují aktivity Insight Agenta shromažďování zpráv o událostech a protokolech a také generování originálních protokolových záznamů prostřednictvím monitorování v reálném čase. Zatímco je připojení udržováno, agent Insight streamuje všechna tato data protokolu až na server Rapid7 pro korelaci a analýzu. Agent je však také schopen lokálně upozorňovat a podnikat kroky k zastavení zjištěných útoků.
Koncové body jsou ideálním místem pro zkoumání chování uživatelů, přičemž každý agent má pouze jednoho uživatele, na kterého se může zaměřit. Poznatky získané z tohoto monitorovacího procesu jsou centralizované, což analytickému enginu Rapid7 umožňuje identifikovat konverzace, zvyky a neočekávaná spojení. Monitorování uživatelů je požadavkem NIST FIPS .
Analýza síťového provozu
SEM část SIEM hodně spoléhá na monitorování síťového provozu . Modul Analýza síťového provozu v insightIDR je základní součástí sekcí SEM systému.
Data získaná z monitorování sítě jsou užitečná v reálném čase pro sledování pohybu narušitelů a extrakty také přispívají k postupům analýzy protokolů. Síťová data jsou tedy součástí procedur SEM i SIM v Rapid7 insightIDR.
Centralizovaná správa protokolů
Metody SIM vyžadují intenzivní analýzu souborů protokolu. Aby bylo možné tuto práci dokončit, je třeba centralizovat zprávy protokolu, takže všechny zprávy o událostech a syslog, plus data o aktivitě generovaná moduly SEM, se nahrávají na server Rapid7. SIM vyžaduje, aby byly záznamy protokolu reorganizovány do standardního formátu. Takže jako bonus funguje insightIDR log server a konsolidátor .
insightIDR uchovává data protokolu po dobu 13 měsíců. První tři měsíce jsou protokoly okamžitě přístupné pro analýzu. Po zbývajících 10 měsíců jsou data protokolu archivována, ale lze je vyvolat. Data jsou v úložišti chráněna šifrováním, takže toto řešení umožňuje splnit řadu standardů zabezpečení dat, včetně SOX a PCI DSS .
Monitorování integrity souborů (FIM)
Sledování integrity souborů (FIM) je známá strategie obrany systému. Je obzvláště důležité chránit soubory protokolů před neoprávněnou manipulací, protože vetřelci, kteří zakrývají jejich stopy, prostě vstoupí a odstraní inkriminující záznamy.
Několik standardů zabezpečení dat vyžaduje monitorování integrity souborů. Tyto zahrnují PCI DSS , HIPAA , a GDPR . Modul FIM v insightIDR je tedy dalším bonusem pro podniky, které musí dodržovat jeden z těchto standardů. Nebudou muset kupovat samostatné FIM systémy.
Tuto funkci provádí agent Insight nainstalovaný na každém zařízení. Konzola insightIDR umožňuje správci systému jmenovat konkrétní adresáře, soubory nebo typy souborů pro ochranu. Předem napsané šablony doporučují konkrétní zdroje dat podle konkrétního standardu zabezpečení dat.
Ochrana souborů před neoprávněnou manipulací zabrání spoustě práce, která by byla potřeba k obnově po zjištěném narušiteli. Firmy se nemusí jen bát události ztráty dat . Standardy zabezpečení dat umožňují některé incidenty. Vaše společnost však bude vyžadovat audit shody externím poradenstvím, a pokud bude odhaleno neohlášené porušení, vaše společnost bude mít skutečné potíže.
Technologie podvodu
Systémy SIEM obvykle pouze identifikují možné narušení nebo krádeže dat; není mnoho systémů, které implementují odpovědi. Rapid7 insightIDR je jedním z mála systémů SIEM, které nasazují chytré technologie chytit vetřelce . Deception Technology je modul insightIDR, který implementuje pokročilou ochranu systémů.
Strategie detekční technologie insightIDR vytváří honeypoty odlákat vetřelce od skutečných úložišť cenných dat vytvořením zdánlivě jednoduchých cest do systému. Tyto falešné stopy vedou do slepých uliček a okamžitě začnou varovat. Techniky použité v tomto modulu byly vyvinuty společností Projekt Metasploit a také Projekt Heisenberg a Projekt Sonar . Jedná se o probíhající projekty, takže obranné systémy insightIDR se neustále vyvíjejí, aby zohlednily opatrnost hackerů oproti předchozím zkušenostem s honeypoty.
Automatizace
IDR znamená „i detekce a reakce na události .“ Automatizace úloh implementuje „ R “ v IDR. Prvky odezvy v insightIDR kvalifikují tento nástroj k tomu, aby byl zařazen do systému prevence narušení. IPS obvykle interagují s firewally a systémy přístupových práv, aby okamžitě zablokovaly přístup do systému podezřelým účtům a IP adresám.
Mezi další funkce sledování účtu patří skenování zranitelnosti zjistit a pozastavit opuštěné uživatelské účty. Nasazení Rapid7 insightIDR obranná automatizace před jakýmkoli útokem s cílem posílit chráněný systém a také implementuje automatizované procesy k zastavení zjištěných incidentů.
Alternativy k Rapid7 insightIDR
insightIDR je komplexní a inovativní systém SIEM. Není to však jediná špičková SIEM na trhu. Chcete-li se dozvědět více o systémech SIEM, podívejte se na náš příspěvek na nejlepší nástroje SIEM .
Pokud nemáte čas číst podrobný seznam recenzí nástrojů SIEM, zde je rychlý seznam hlavních konkurentů Rapid7 InsightIDR.
- Správce událostí zabezpečení SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Nástroj SIEM od společnosti SolarWinds, který zahrnuje reakci na incidenty v reálném čase. Tento software se instaluje na Windows Server a zahrnuje monitorování souladu a hlášení ihned po vybalení. Zahajte 30denní bezplatnou zkušební verzi.
- ManageEngine EventLog Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA) Poskytuje funkce SIM a lze jej spárovat s Log360 pro služby SEM. Instaluje se na Windows a Linux. Zahajte 30denní bezplatnou zkušební verzi.
- Monitorování zabezpečení Datadog Cloudový systém SIEM integrovaný do nástroje pro monitorování sítě.
- McAfee Enterprise Security Manager Nástroj SIEM, který se zaměřuje na správu a dotazování Active Directory. Instaluje se na Windows a Mac OS.
- Fortinet FortiSIEM Blízký konkurent insightIDR, který zahrnuje řadu detekčních taktik plus automatizované obranné reakce.
- Splunk Enterprise Security Dobře známý síťový skener, který zahrnuje analytické funkce a možnosti správy protokolů. Instaluje se na Windows a Linux.
- OSSEC Bezplatný open-source IDS se silnými rutinami analýzy protokolů. Instaluje se na Windows, Mac OS, Linux a Unix.
- Platforma LogRhythm NextGen SIEM Využívá techniky AI při analýze provozu a protokolů. Instaluje se na Windows a Linux.
- Jednotná správa zabezpečení AT&T Cybersecurity AlienVault Silný IDS, který implementuje řadu detekčních strategií včetně SIEM. Instaluje se na Windows a macOS.
Nejčastější dotazy ohledně InsightIDR:
Co je InsightIDR?
Insight IDR je cloudový systém SIEM, který shromažďuje protokolové zprávy a aktuální informace o síťové aktivitě a poté v těchto datech vyhledává známky škodlivé aktivity.
Je InsightIDR SIEM?
Ano. InsightIDR je SIEM. Je dodáván jako systém SaaS.
K čemu slouží Rapid7 insight agent?
Rapid7 provozuje platformu SaaS služeb kybernetické bezpečnosti nazvanou Rapid7 Insight, která, protože je založena na cloudu, vyžaduje sběratel dat na systému, který je chráněn. Tento sběratel se nazývá Insight Agent. Pokud si společnost předplatí několik produktů Rapid7 Insight, Insight Agent obsluhuje všechny z nich.
Má Rapid7 SIEM?
Rapid7 nabízí řadu kybernetických bezpečnostních systémů ze své platformy Insight. Z těchto nástrojů InsightIDR funguje jako SIEM.