Základní popis
InsightIDR efektivně zpracovává data získaná z koncových stanic do smysluplného kontextu, a to bez narušení uživatelské aktivity. Dokáže spolehlivě vystopovat zneužití lokálních účtů, nebezpečné procesy nebo manipulaci s logy. Využívá technologii machine-learning, díky čemuž se celé řešení průběžně vyvíjí společně s proměnným chováním útočníků.
Celé řešení je dostupné jako cloudová platforma a přináší vhled do monitoringu koncových zařízení, logů ale i cloudových služeb.
Klíčové vlastnosti
- RYCHLÁ a snadná implementace řešení -> v řádech dnů = snadné POC pro každého!
- JEDNODUCHÁ (MULTITENANTNÍ) architektura = CLOUD centrální správa + agenti na koncových bodech
- BEZÚDRŽBOVÉ - díky SAAS Rapid7 spravuje všechny záplaty a aktualizace
- Analýza chování útočníka (SOC´s) tedy komplexní správa zranitelností a SOAR
- Analýza chování uživatelů (UBA) pro okamžité vyhodnocení neobvyklých činností
- Centralizovaná správa protokolů (Log management)
- Nativní podpora pro Monitorování integrity souborů (FIM) a endpoint
- Detekce "Endpoint" a jejich viditelnost (EDR)
- Agent koncového bodu lze také použít k podstrčení klamavých údajů (credentials)
- Vizuální časová osa vyšetřování
- Deception Technology
NETWORK TRAFFIC ANALYSIS
Rapid7 Network traffic analysis (NTA) je modulem řešení SIEM – InsightIDR, který poskytuje komplexní vhled do síťových aktivit organizace. Jedná se o důležitý nástroj, díky kterému lze odhalit bezpečností incidenty ještě dřív, než stihnout napáchat nevratné škody.
Rapid7 NTA funguje jako síťová sonda sbírající “flow data” i “packet data” a následně je analyzuje. Díky analýze síťového provozu lze snadněji identifikovat anomálie, které jsou velmi často ukazatelem probíhajícího bezpečnostního incidentu. NTA disponuje vbudovaným Intrustion Detection System (IDS) s řadou vlastních signatur. Jedná se tedy o další bezpečnostní vrstvu, která doplňuje SIEM o důležitý kontext z pohledu síťové bezpečnosti. NTA je také hojně využíváno pro optimalizaci síťového provozu za účelem navýšení jeho výkonu.
Nejčastěji využívané use-cases NTA:
- Sběr real-time a historických záznámů síťových aktivit
- Detekce malware (např. Aktivita ransomware)
- Troubleshooting pomalé sítě
- Odhalení využívání zranitelných protokolů a šifer
- Vylepšení přehledu o síťovém provozu a eliminace slepých míst
Doporučená architektura
NETWORK TRAFFIC ANALYSIS ARCHITEKTURA
SCHÉMA KONCEPCE
VIDEO + reference
InsightIDR Overview |
WEB výrobce |
