InsightIDR — назван лидером в Gartner Magic Quadrant for SIEM 2020 Мониторинг, расследование и реагирования на угрозы в режиме 24/7, включает сервис по управлению обнаружением и реагированием (MDR).

Сильные стороны

1. InsightIDR — SaaS решение и требует только локального развертывания агентов или сборщиков на конечных точках. Легкое развертывание и быстрый запуск.
2. Включает дополнительные технологии — управление уязвимостями и SOAR, круглосуточный мониторинг среды.
3. InsightIDR предлагает мощную поддержку UBA с готовыми вариантами использования, основанными на аномальных действиях.
4. Родная поддержка FIM. Агент конечной точки может использоваться для развертывания вводящих в заблуждение учетных данных, что является отличительным признаком среди продуктов SIEM.

InsightIDR - отличная система. Она дает прекрасное ощущение безопасности (контроля). Только представьте, что вы обнаруживаете любое подозрительное поведение в сети за месяцы до того, как вы могли обнаружить ранее без использования InsightIDR.

Ключевые характеристики InsightIDR

Усовершенствованная телеметрия конечной точки в InsightIDR

Более эффективное обнаружение, исследование и реагирование благодаря расширенному визуальному контролю данных на конечных устройствах.

Обладая всесторонним покрытием в современной инфраструктуре, InsightIDR выходит за рамки традиционных SIEM-систем и обеспечивает высоконадежное обнаружение угроз "из коробки" и улучшенную видимость среды, когда это необходимо командам. Критически важным для целостного покрытия InsightIDR представляет обнаружение конечной точки и ответные действия в режиме реального времени, которые необходимы для выявления ранних признаков атаки.

Более широкие и эффективные расследования

InsightIDR - единственный SIEM с мощными средствами обнаружения и реагирования конечных точек (EDR), анализа сетевого трафика и встроенными средствами анализа поведения, позволяющими клиентам обнаруживать и расследовать угрозы на конечных точках без каких-либо интегрированных или дополнительных конфигураций. С помощью InsightIDR клиенты могут использовать универсальный агент Insight Agent Rapid7 для доступа в режиме реального времени к сканированию конечных точек и предупреждениям об обнаружении угроз.

Но наши возможности конечной точки не останавливаются на обнаружении угрозы: Благодаря усовершенствованной телеметрии конечных точек (EET) клиенты InsightIDR получают архив исторических данных о начале процесса, что позволяет ускорить обнаружение, расследование и устранение угроз.

Ускорение расследований по сигналам тревоги и разблокировка пользовательских Case-ов использования

EET обеспечивает контекст того, что происходило до и после любого действия на конечной точке, позволяя командам рассказать полную историю о том, какие действия привели к конкретному обнаружению. Теперь команды безопасности могут точно расшифровать, что было атакой, и что было обычной командой, которая выглядела подозрительно, вместо того, чтобы прыгать туда-сюда с помощью нескольких инструментов.

Полный архив данных о запуске процесса также позволяет клиентам создавать пользовательские обнаружения на основе этих данных. Это чрезвычайно полезно для распознавания потенциальных показателей компромисса, которые могут быть уникальными для конкретной политики вашей организации и/или вашей конкретной отрасли или сектора рынка.

Например, если клиент использует Slack только для внутренних коммуникаций и внезапно Skype запускается на конечной точке, его аналитик захочет как можно скорее запустить процесс реагирования на инцидент, чтобы сдержать эту угрозу; с помощью данных о запуске процесса EET он сможет создать предупреждение, которое будет срабатывать при запуске любого другого приложения для чата, например Skype.

С помощью EET клиенты InsightIDR могут увидеть весь спектр атак, включая то, что привело к атаке, что произошло во время нее, и то, что случилось после. Например, если атака началась с того, что сотрудник открыл фишинговую ссылку, а украденные учетные данные были использованы для выполнения вредоносных действий на конечной точке, вы можете просмотреть, что деятельность на конечной точке и принять решение о том, чтобы отключить пользователя чтобы избежать будущего компромисса. Если после атаки они изменили административные настройки на любой конечной точке, то вы сможете вернуться и отменить эти изменения.

Эффективное и полное обнаружение и реагирование на действия с помощью InsightIDR

Сегодня существует множество технологий, к которым команды безопасности имеют доступ - и которые очень нужны - для создания успешной программы обнаружения и реагирования. Однако, по мере того, как команды внедряют все больше и больше инструментов, то, что предназначено для помощи в обнаружении, может на самом деле создавать сложности в процессе, со сложными интеграциями, с переходом от одного инструмента к другому, и необходимостью изучения входов и выходов из нескольких платформ безопасности.

В Rapid7 мы рассмотрели целостный подход к обнаружению и реагированию и определили все ключевые компоненты технологии, которые помогают обеспечить видимость и защиту наших клиентов. Самое лучшее? Мы поставляем все это в одном решении.

InsightIDR анализирует данные о конечной точке наряду с журналами анализа поведения пользователей. и данные о сетевом трафике, чтобы дать клиентам полную картину их безопасности. ландшафт угроз. Эти наборы данных предоставляют данные о критической деятельности и содержат самые ранние показатели потенциального компромисса, формирующие три столпа из Gartner's Security Operations Center (SOC) Visibility Triad-SIEM/UEBA, Обнаружение сети и реагирование на нее, а также обнаружение конечной точки и реагирование на нее. Используя триаду видимости SOC, InsightIDR ускоряет обнаружение и реагирование путем обеспечения быстрого и точного оповещения и предоставления клиентам инструментов. и контекст, необходимый для быстрого и уверенного реагирования на угрозы.

User Behavior Analytics

В 80% взлома, использовались украденные или слабые пароли. InsightIDR обнаружит злоумышленников, маскирующихся под сотрудников компании.

Обнаружение внутри

Attacker Behavior Analytics

Обнаружения, основанные на реальных атаках. Rapid7 видит атаки из первых рук через проект Metasploit. Библиотека поставляется в InsightIDR стремительно.

Точные данные

Endpoint Detection and Visibility

InsightIDR поставляется с Insight Agent для сканирования конечных точек, что дает возможность обнаружения в режиме реального времени всех устройств в сети.

Сканирование конечных точек

Network Traffic Analysis

Анализ сетевого трафика доступен в InsightIDR. Вы можете непрерывно отслеживать ваш сетевой трафик в любом месте или на сайте в вашей сети.

Анализ сетевого трафика

Centralized Log Management

InsightIDR соотносит миллионы ежедневных событий в вашей среде непосредственно с пользователями и активами, стоящими за ними, чтобы выявлять риски организации и определять приоритеты в поиске.

Приоритезация

Visual Investigation Timeline

InsightIDR объединяет поиск в журнале, поведение пользователя и данные конечных точек в единую временную шкалу, чтобы помочь вам принимать более взвешенные и быстрые решения. Насколько быстрее? Клиенты сообщают об ускорении расследований в 20 раз.

Единый поиск

Deception Technology

InsightIDR обеспечивает не только UBA и Endpoint Detection, но и простые в развертывании ловушки для злоумышленников. Пользователи honey, учетные данные honey и файлы honey, созданные для выявления злонамеренного поведения на ранних этапах цепочки атак.

Приманки для хакеров

File Integrity Monitoring (FIM)

InsightIDR включает в себя ведение и управление журналом аудита (например, PCI Requirement 10), мониторинг пользователей (например, NIST CSF Detect) и мониторинг целостности файлов (FIM), регламент, предписанный для PCI, HIPAA и GDPR.

Ведение журналов

Automation

Ряд функций автоматизированы для удвоения эффективности. К ним относятся готовые рабочие процессы для таких вещей, как сдерживание угроз на конечной точке, приостановка учетных записей пользователей или интеграция с системой тикетов и другое.

Автоматизация

Примеры внедрений