Rapid7 InsightIDR (SIEM/SOAR)

InsightIDR - Incident Detection and Response Tool od společnosti Rapid7 je unikátní technologie, která v sobě kombinuje funkcionality nástrojů SIEM, UBA (User Behavioral Analytics) a EDR (Endpoint Detection and Response.)

Základní popis

InsightIDR efektivně zpracovává data získaná z koncových stanic do smysluplného kontextu, a to bez narušení uživatelské aktivity. Dokáže spolehlivě vystopovat zneužití lokálních účtů, nebezpečné procesy nebo manipulaci s logy. Využívá technologii machine-learning, díky čemuž se celé řešení průběžně vyvíjí společně s proměnným chováním útočníků. 

Celé řešení je dostupné jako cloudová platforma a přináší vhled do monitoringu koncových zařízení, logů ale i cloudových služeb.

Klíčové vlastnosti

  • RYCHLÁ a snadná implementace řešení -> v řádech dnů = snadné POC pro každého!
  • JEDNODUCHÁ (MULTITENANTNÍ) architektura = CLOUD centrální správa + agenti na koncových bodech
  • BEZÚDRŽBOVÉ - díky SAAS Rapid7 spravuje všechny záplaty a aktualizace
  • Analýza chování útočníka (SOC´s) tedy komplexní správa zranitelností a SOAR
  • Analýza chování uživatelů (UBA) pro okamžité vyhodnocení neobvyklých činností
  • Centralizovaná správa protokolů (Log management)
  • Nativní podpora pro Monitorování integrity souborů (FIM) a endpoint
  • Detekce "Endpoint" a jejich viditelnost (EDR)
  • Agent koncového bodu lze také použít k podstrčení klamavých údajů (credentials)
  • Vizuální časová osa vyšetřování
  • Deception Technology

NETWORK TRAFFIC ANALYSIS

Rapid7 Network traffic analysis (NTA) je modulem řešení SIEM – InsightIDR, který poskytuje komplexní vhled do síťových aktivit organizace. Jedná se o důležitý nástroj, díky kterému lze odhalit bezpečností incidenty ještě dřív, než stihnout napáchat nevratné škody.

Rapid7 NTA funguje jako síťová sonda sbírající “flow data” i “packet data” a následně je analyzuje. Díky analýze síťového provozu lze snadněji identifikovat anomálie, které jsou velmi často ukazatelem probíhajícího bezpečnostního incidentu.  NTA disponuje vbudovaným Intrustion Detection System (IDS) s řadou vlastních signatur. Jedná se tedy o další bezpečnostní vrstvu, která doplňuje SIEM o důležitý kontext z pohledu síťové bezpečnosti. NTA je také hojně využíváno pro optimalizaci síťového provozu za účelem navýšení jeho výkonu.

Nejčastěji využívané use-cases NTA:

  • Sběr real-time a historických záznámů síťových aktivit
  • Detekce malware (např. Aktivita ransomware)
  • Troubleshooting pomalé sítě
  • Odhalení využívání zranitelných protokolů a šifer
  • Vylepšení přehledu o síťovém provozu a eliminace slepých míst

Doporučená architektura

NETWORK TRAFFIC ANALYSIS ARCHITEKTURA

SCHÉMA KONCEPCE

VIDEO + reference

  

InsightIDR Overview

https://insightidr.help.rapid7.com/docs

WEB výrobce

www.rapid7.com

 

Novinky comguard