Усовершенствованная телеметрия конечной точки в Rapid7 InsightIDR
News | 18.03.2021
Сегодня существует множество технологий, к которым команды безопасности имеют доступ - и которые очень нужны - для создания успешной программы обнаружения и реагирования. Однако, по мере того, как команды внедряют все больше и больше инструментов, то, что предназначено для помощи в обнаружении, может на самом деле создавать сложности в процессе, со сложными интеграциями, с переходом от одного инструмента к другому, и необходимостью изучения входов и выходов из нескольких платформ безопасности.
Целостный подход Rapid7 к обнаружению и реагированию определил все ключевые компоненты технологии, которые помогают обеспечить видимость и защиту клиентов.
Обладая всесторонним покрытием в современной инфраструктуре, InsightIDR выходит за рамки традиционных SIEM-систем и обеспечивает высоконадежное обнаружение угроз "из коробки" и улучшенную видимость среды, когда это необходимо командам. Критически важным для целостного покрытия InsightIDR представляет обнаружение конечной точки и ответные действия в режиме реального времени, которые необходимы для выявления ранних признаков атаки.
InsightIDR позволяет обнаруживать и расследовать угрозы на конечных точках без каких-либо интегрированных или дополнительных конфигураций. Вы можете использовать универсальный агент Insight Agent Rapid7 для доступа в режиме реального времени к сканированию конечных точек и предупреждениям об обнаружении угроз.
Но возможности конечной точки не останавливаются на обнаружении угрозы: благодаря усовершенствованной телеметрии конечных точек (EET) клиенты InsightIDR получают архив исторических данных о начале процесса, что позволяет ускорить обнаружение, расследование и устранение угроз.
EET обеспечивает контекст того, что происходило до и после любого действия на конечной точке, позволяя командам рассказать полную историю о том, какие действия привели к конкретному обнаружению. Теперь команды безопасности могут точно расшифровать, что было атакой, и что было обычной командой, которая выглядела подозрительно, вместо того, чтобы прыгать туда-сюда с помощью нескольких инструментов.
Полный архив данных о запуске процесса также позволяет клиентам создавать пользовательские обнаружения на основе этих данных. Это чрезвычайно полезно для распознавания потенциальных показателей компромисса, которые могут быть уникальными для конкретной политики вашей организации и/или вашей конкретной отрасли или сектора рынка.
Например, если клиент использует Slack только для внутренних коммуникаций и внезапно Skype запускается на конечной точке, его аналитик захочет как можно скорее запустить процесс реагирования на инцидент, чтобы сдержать эту угрозу; с помощью данных о запуске процесса EET он сможет создать предупреждение, которое будет срабатывать при запуске любого другого приложения для чата, например Skype.
С помощью EET клиенты InsightIDR могут увидеть весь спектр атак, включая то, что привело к атаке, что произошло во время нее, и то, что случилось после. Например, если атака началась с того, что сотрудник открыл фишинговую ссылку, а украденные учетные данные были использованы для выполнения вредоносных действий на конечной точке, вы можете просмотреть, что деятельность на конечной точке и принять решение о том, чтобы отключить пользователя чтобы избежать будущего компромисса. Если после атаки они изменили административные настройки на любой конечной точке, то вы сможете вернуться и отменить эти изменения.
InsightIDR анализирует данные о конечной точке наряду с журналами анализа поведения пользователей и данные о сетевом трафике, чтобы дать клиентам полную картину их безопасности. ландшафт угроз. Эти наборы данных предоставляют данные о критической деятельности и содержат самые ранние показатели потенциального компромисса, формирующие три столпа из Gartner's Security Operations Center (SOC) Visibility Triad-SIEM/UEBA, Обнаружение сети и реагирование на нее, а также обнаружение конечной точки и реагирование на нее. Используя триаду видимости SOC, InsightIDR ускоряет обнаружение и реагирование путем обеспечения быстрого и точного оповещения и предоставления клиентам инструментов. и контекст, необходимый для быстрого и уверенного реагирования на угрозы.
Суммируя, усовершенствованная телеметрия конечной точки в InsightIDR включает:
- Более эффективное обнаружение, исследование и реагирование благодаря расширенному визуальному контролю данных на конечных устройствах.
- Ускорение расследований по сигналам тревоги и разблокировка пользовательских Case-ов использования
- Эффективное и полное обнаружение и реагирование на действия с помощью InsightIDR