Netzadministrator

Rapid7 InsightIDR Review und Alternativen

InsightIDR-Rezension und Alternativen



Rapid7 InsightIDR nutzt innovative Techniken, um Netzwerkeinbrüche und Insider-Bedrohungen zu erkennen. Durch die Nutzung aller Erkenntnisse, die der mehrstufige SIEM-Ansatz bieten kann, beschleunigt InsightIDR den Erkennungsprozess und stoppt den Angriff.

Die SIEM-Strategie

SIEM ist ein zusammengesetzter Begriff. Es kombiniert WELCHE Und Ja . SEM steht für Sicherheitsereignismanagement ; SEM-Systeme sammeln Aktivitätsdaten in Echtzeit. SIM steht für Sicherheitsinformationsmanagement Dabei werden Protokolldateien nach Anzeichen verdächtiger Aktivitäten durchsucht. SIEM kombiniert diese beiden Strategien zu Sicherheitsinformations- und Ereignismanagement.



Traditionell Einbrucherkennungssystem (IDSs) erfassen Verkehrsdaten und untersuchen die Header von Paketen, um die Aktivität zu analysieren. Ein IDS-Monitor kategorisiert schnell den gesamten Datenverkehr nach Quell- und Ziel-IP-Adressen und Portnummern. Diese beiden Kennungen können dann bestimmten Geräten und sogar bestimmten Benutzern zugeordnet werden. Die Portnummernreferenz kann die Protokolle und Anwendungen erläutern, auf die sich jede Übertragung bezieht. Das ist die SEM-Strategie.

SEM eignet sich hervorragend zum Erkennen großer Mengen ausgehender Daten, die auf Datendiebstahl hindeuten könnten. Es lässt sich jedoch nicht erkennen, ob es sich bei einer ausgehenden Datei um eine Liste mit Kundenkreditkarten oder um ein Verkaufsgespräch handelt, das an einen potenziellen Kunden gerichtet ist. Bei verschlüsselten Inhalten haben SEM-Systeme noch weniger Chancen zu erkennen, ob eine Übertragung legitim ist. Noch schwieriger ist es, unbefugte Handlungen zu erkennen, wenn ein autorisierter Benutzer des Netzwerks steckt hinter dem Datendiebstahl.



Eine SEM-Strategie ist deshalb attraktiv, weil es ist unmittelbar Aber Geschwindigkeit ist nicht immer ein Erfolgsrezept. SIM bietet Stealth. Dabei werden sowohl Ereignis- als auch Protokollmeldungen von vielen verschiedenen Punkten im System verarbeitet. Es sucht nach bekannten Aktionskombinationen, die auf bösartige Aktivitäten hinweisen. SIM ist besser Identifizierung von Insider-Bedrohungen und fortgeschrittene persistente Bedrohungen, da es erkennen kann, wenn ein autorisiertes Benutzerkonto unerwartetes Verhalten zeigt. So können Datenschutzverletzungen und Systemangriffe nach Benutzerkonto identifiziert werden, was zu einer Fokussierung darauf führt, ob dieses Konto gekapert wurde oder ob der Benutzer dieses Kontos zur Zusammenarbeit gezwungen wurde. SIEM bietet eine Kombination aus Geschwindigkeit und Stealth.

Über Rapid7

Rapid7 ist seit 20 Jahren im Bereich Cyber ​​Defense tätig. Das Unternehmen betreibt ein Beratungsunternehmen, das Unternehmen dabei hilft, ihre Systeme gegen Angriffe abzusichern, und reagiert auch auf Notrufe von angegriffenen Organisationen.

InsightIDR-Haupt-Dashboard – Ansicht der wichtigsten Funktionen

Das Unternehmen testet nicht nur Systeme und räumt Hacker auf, sondern produziert auch Sicherheitssoftware und bietet einen verwalteten Sicherheitsdienst an.

Rapid7 betreibt ein Forschungslabor, das die Welt nach neuen Angriffsstrategien absucht und Abwehrmaßnahmen entwickelt. Das Labor nutzt die unternehmenseigenen Tools, um Exploits zu untersuchen und herauszufinden, wie diese abgewehrt werden können. Das bekannteste Werkzeug im Repertoire von Rapid7 ist Metasploit . Dies ist ein Open-Source-Projekt, das Penetrationstest-Tools erstellt. Wenn Rapid7 das System eines Kunden auf Schwachstellen untersucht, sendet es einen Bericht, der zeigt, wie es den Mitarbeitern des Beratungsunternehmens gelungen ist, dieses System zu knacken.

Vorteile:

  • Nutzt Verhaltensanalysen, um Bedrohungen zu erkennen, die die signaturbasierte Erkennung umgehen
  • Verwendet mehrere Datenströme, um über die aktuellsten Methoden zur Bedrohungsanalyse zu verfügen
  • Ermöglicht eine robuste automatisierte Behebung

Nachteile:

  • Die Preise sind höher als bei ähnlichen Werkzeugen auf dem Markt
  • Für einige Funktionen sind möglicherweise kostenpflichtige Plugins erforderlich

InsightIDR ist Teil des Menüs von Systemverteidigungssoftware dass Rapid7 aus seinen Erkenntnissen über Hackerstrategien entwickelt wurde. Rapid7 bietet eine kostenlose Testversion an .

InsightIDR-Funktionen

InsightIDR ist ein System zur Erkennung und Reaktion von Eindringlingen , gehostet in der Cloud. Der Teil der Funktionen des Tools zur Einbruchserkennung nutzt SIEM-Strategien. Das Protokoll, das Teile des Systems konsolidiert, führt auch Protokollverwaltungsaufgaben aus. Das Tool geht sogar über typische SIEM-Grenzen hinaus, indem es Maßnahmen implementiert, um Eindringlinge zu stoppen, anstatt sie nur zu identifizieren.

Mechanismen in InsightIDR reduzieren die Häufigkeit falscher Meldungen. Bei so vielen verschiedenen Datenerfassungspunkten und Erkennungsalgorithmen kann ein Netzwerkadministrator von den Warnungen eines sorgfältigen SIEM-Tools überschwemmt werden. Informationen werden kombiniert und verknüpfte Veranstaltungen werden im Management-Dashboard in einer Warnung zusammengefasst. InsightIDR reduziert den Zeitaufwand, den ein Administrator für die Überwachung der Berichte des Systemverteidigungstools aufwenden muss.

Hier sind einige der Hauptelemente von InsightIDR.

Analyse des Benutzerverhaltens

Ein großes Problem bei Sicherheitssoftware ist die Falsch-Positiv-Erkennungsrate . Viele Systeme zum Schutz vor Eindringlingen garantieren die Blockierung unbefugter Aktivitäten, hindern aber gleichzeitig alle Mitarbeiter im Unternehmen daran, ihre Arbeit zu erledigen.

Die einzige Lösung für Fehlalarme besteht darin, das Abwehrsystem so zu kalibrieren, dass es zwischen legitimen Aktivitäten und böswilliger Absicht unterscheiden kann. Das User Behavior Analytics-Modul von InsightIDR zielt genau darauf ab. Dieses Modul erstellt eine Grundlinie normaler Aktivität pro Benutzer und/oder Benutzergruppe. Wenn sich Verhaltensmuster plötzlich ändern, muss das dichte System die verdächtigen Konten untersuchen. Möglicherweise wurden sie entführt.

Die gleichzeitige Beobachtung aller Benutzer kann keine manuelle Aufgabe sein. Sie ist jedoch notwendig, um sowohl typische als auch innovative Hacker-Kontomanipulationsstrategien zu erkennen und zu unterbinden. Diese Aufgabe kann nur durch einen automatisierten Prozess erledigt werden. Es erfordert ausgefeilte Methoden, wie z maschinelles Lernen , um zu verhindern, dass das System legitime Benutzer blockiert.

Analyse des Angreiferverhaltens

Attacker Behavior Analytics (ABA) ist das Ass im Ärmel von Rapid7. Diese Funktion ist das Produkt des Dienstes Jahrelange Forschungs- und Beratungstätigkeit . Die Analysten von Rapid7 arbeiten jeden Tag daran, Angriffe ihren Quellen zuzuordnen und Pools von Strategien und Verhaltensmustern zu identifizieren, die jede Hackergruppe gerne nutzt.

Die Forschung der Analysten von Rapid7 wird in „ Angriffsketten .“ Wenn Hacker-Gruppe A eingestiegen ist und X gemacht hat, werden Sie wahrscheinlich von Y und dann von Z getroffen, denn das ist es, was Hacker-Gruppe A immer tut. Daher generiert Attacker Behavior Analytics Warnungen. Sobald X auftritt, kann das Team das System gegen Y und Z absichern und gleichzeitig X abschalten.

InsightIDR – Ansicht „Untersuchungsdetails“.

Endpunktschutz

Die Analysefunktionen von InsightIDR werden alle auf dem Rapid7-Server ausgeführt. Dies ist großartig, um die Infrastruktur der Kundenstandorte zu entlasten, bringt aber auch eine potenzielle Schwachstelle mit sich. Nicht alle Geräte können jederzeit über das Internet kontaktiert werden. Wenn alle Erkennungsroutinen aus der Ferne erfolgen, muss ein geschickter Hacker lediglich diese Verbindung unterbrechen oder abfangen und manipulieren.

Um diese Schwäche zu bekämpfen, enthält InsightIDR das Insight-Agent . Hierbei handelt es sich um eine Software, die auf jedem überwachten Endpunkt installiert werden muss. Der Insight Agent ist in der Lage, unabhängig zu arbeiten und Daten hochzuladen oder Updates herunterzuladen, sobald eine Verbindung verfügbar ist. Während das überwachte Gerät offline ist, arbeitet der Agent weiter.

Im SIEM-Modell bestehen die Aktivitäten des Insight Agent in der Erfassung von Ereignis- und Protokollmeldungen sowie in der Generierung von Originalprotokolldatensätzen durch Echtzeitüberwachung. Während eine Verbindung aufrechterhalten wird, wird der Insight Agent streamt alle diese Protokolldaten bis zum Rapid7-Server zur Korrelation und Analyse. Der Agent ist jedoch auch in der Lage, lokal Warnungen auszulösen und Maßnahmen zu ergreifen, um erkannte Angriffe abzuwehren.

Endpunkte sind der ideale Ort für die Untersuchung des Benutzerverhaltens, da sich jeder Agent nur auf einen Benutzer konzentrieren kann. Die aus diesem Überwachungsprozess gewonnenen Erkenntnisse werden zentralisiert, sodass die Analyse-Engine von Rapid7 Gespräche, Gewohnheiten und unerwartete Zusammenhänge erkennen kann. Benutzerüberwachung ist eine Anforderung von NIST FIPS .

Analyse des Netzwerkverkehrs

Der SEM-Teil von SIEM basiert stark auf Überwachung des Netzwerkverkehrs . Das Netzwerkverkehrsanalysemodul von InsightIDR ist ein zentraler Bestandteil der SEM-Abschnitte des Systems.

InsightIDR – Netzwerkdaten – Perimeteraktivitätsansicht

Die aus der Netzwerküberwachung gewonnenen Daten sind in Echtzeit nützlich, um die Bewegungen von Eindringlingen zu verfolgen, und Extrakte tragen auch zu Protokollanalyseverfahren bei. Daher sind Netzwerkdaten Teil sowohl der SEM- als auch der SIM-Verfahren in Rapid7 InsightIDR.

Zentralisierte Protokollverwaltung

SIM-Methoden erfordern eine intensive Analyse der Logdateien. Um diese Arbeit abzuschließen, müssen Protokollmeldungen zentralisiert werden, sodass alle Ereignis- und Syslog-Meldungen sowie die von den SEM-Modulen generierten Aktivitätsdaten auf den Rapid7-Server hochgeladen werden. SIM erfordert die Neuorganisation von Protokolldatensätzen in ein Standardformat. Als Bonus fungiert InsightIDR als ein Protokollserver und Konsolidierer .

InsightIDR speichert Protokolldaten 13 Monate lang. In den ersten drei Monaten sind die Protokolle sofort zur Analyse zugänglich. Für die verbleibenden 10 Monate werden die Protokolldaten archiviert, können aber abgerufen werden. Die Daten werden während der Speicherung durch Verschlüsselung geschützt, sodass Sie mit dieser Lösung eine Reihe von Datensicherheitsstandards einhalten können, darunter SOX Und PCI DSS .

Dateiintegritätsüberwachung (FIM)

File Integrity Monitoring (FIM) ist eine bekannte Strategie zur Systemverteidigung. Es ist besonders wichtig, Protokolldateien vor Manipulationen zu schützen, da Eindringlinge, die ihre Spuren verwischen, einfach hineingehen und belastende Aufzeichnungen entfernen.

Mehrere Datensicherheitsstandards erfordern eine Überwachung der Dateiintegrität. Diese beinhalten PCI DSS , HIPAA , Und DSGVO . Daher ist das FIM-Modul in InsightIDR ein weiterer Bonus für Unternehmen, die einen dieser Standards befolgen müssen. Sie müssen keine separaten FIM-Systeme kaufen.

Diese Funktion wird vom Insight Agent ausgeführt, der auf jedem Gerät installiert ist. Die InsightIDR-Konsole ermöglicht es dem Systemmanager, bestimmte Verzeichnisse, Dateien oder Dateitypen zum Schutz vorzuschlagen. Vorgefertigte Vorlagen empfehlen bestimmte Datenquellen gemäß einem bestimmten Datensicherheitsstandard.

Durch den Schutz von Dateien vor Manipulation wird eine Menge Arbeit vermieden, die für die Wiederherstellung nach einem erkannten Eindringling erforderlich wäre. Unternehmen müssen sich nicht nur darum kümmern Datenverlustereignisse . Datensicherheitsstandards lassen einige Vorfälle zu. Allerdings benötigt Ihr Unternehmen eine Compliance-Prüfung durch ein externes Beratungsunternehmen, und wenn ein nicht gemeldeter Verstoß festgestellt wird, gerät Ihr Unternehmen in echte Schwierigkeiten.

Täuschungstechnologie

SIEM-Systeme identifizieren normalerweise nur mögliche Eindringlinge oder Datendiebstahlereignisse. Es gibt nicht viele Systeme, die Antworten implementieren. Rapid7 InsightIDR ist eines der wenigen SIEM-Systeme, das intelligente Technologie einsetzt Eindringlinge fangen . Deception Technology ist das InsightIDR-Modul, das erweiterten Schutz für Systeme implementiert.

Die Erkennungstechnologie-Strategie von InsightIDR schafft Honeypots um Eindringlinge von den eigentlichen Speicherorten wertvoller Daten fernzuhalten, indem scheinbar einfache Wege in das System geschaffen werden. Diese falschen Spuren führen in Sackgassen und führen zu sofortigen Stolperwarnungen. Die in diesem Modul verwendeten Techniken wurden von der entwickelt Metasploit-Projekt und auch die Heisenberg-Projekt Und Projekt Sonar . Da es sich um laufende Projekte handelt, werden die Abwehrsysteme von InsightIDR ständig weiterentwickelt, um der Vorsicht von Hackern aufgrund früherer Erfahrungen mit Honeypots Rechnung zu tragen.

Automatisierung

IDR steht für „ich Erkennung und Reaktion auf Vorfälle .“ Die Aufgabenautomatisierung implementiert das „ R ” in IDR. Die Reaktionselemente in InsightIDR qualifizieren das Tool für die Kategorisierung als Intrusion-Prevention-System. Typischerweise interagieren IPSs mit Firewalls und Zugriffsrechtsystemen, um den Zugriff verdächtiger Konten und IP-Adressen auf das System sofort zu blockieren.

Zu den weiteren Kontoüberwachungsfunktionen gehören: Schwachstellenscan um verlassene Benutzerkonten zu erkennen und zu sperren. Rapid7 InsightIDR wird bereitgestellt Verteidigungsautomatisierung vor jedem Angriff, um das geschützte System zu härten, und implementiert außerdem automatisierte Prozesse, um erkannte Vorfälle abzuschalten.

Alternativen zu Rapid7 InsightIDR

InsightIDR ist ein umfassendes und innovatives SIEM-System. Es ist jedoch nicht das einzige hochmoderne SIEM auf dem Markt. Um mehr über SIEM-Systeme zu erfahren, schauen Sie sich unseren Beitrag an beste SIEM-Tools .

Wenn Sie keine Zeit haben, eine detaillierte Liste der Testberichte zu SIEM-Tools zu lesen, finden Sie hier eine kurze Liste der Hauptkonkurrenten von Rapid7 InsightIDR.

  1. SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION) Ein SIEM-Tool von SolarWinds, das eine Reaktion auf Vorfälle in Echtzeit ermöglicht. Diese Software wird auf Windows Server installiert und umfasst standardmäßig Compliance-Überwachung und Berichterstellung. Starten Sie eine 30-tägige kostenlose Testversion.
  2. ManageEngine EventLog Analyzer (KOSTENLOSE TESTVERSION) Bietet SIM-Funktionen und kann mit Log360 für SEM-Dienste gekoppelt werden. Es lässt sich unter Windows und Linux installieren. Starten Sie eine 30-tägige kostenlose Testversion.
  3. Datadog-Sicherheitsüberwachung Ein cloudbasiertes SIEM-System, das in ein Netzwerküberwachungstool integriert ist.
  4. McAfee Enterprise Security Manager Ein SIEM-Tool, das sich auf die Verwaltung und Abfrage von Active Directory konzentriert. Es lässt sich unter Windows und Mac OS installieren.
  5. Fortinet FortiSIEM Ein enger Konkurrent von InsightIDR, der eine Reihe von Erkennungstaktiken sowie automatisierte Abwehrreaktionen umfasst.
  6. Splunk Enterprise Security Ein bekannter Netzwerkscanner, der Analysefunktionen und Protokollverwaltungsfunktionen umfasst. Es lässt sich unter Windows und Linux installieren.
  7. OSSEC Ein kostenloses Open-Source-IDS mit starken Protokollanalyseroutinen. Es lässt sich unter Windows, Mac OS, Linux und Unix installieren.
  8. LogRhythm NextGen SIEM-Plattform Es nutzt KI-Techniken zur Verkehrs- und Protokollanalyse. Es lässt sich unter Windows und Linux installieren.
  9. AT&T Cybersecurity AlienVault Unified Security Management Ein starkes IDS, das eine Reihe von Erkennungsstrategien implementiert, einschließlich SIEM. Es lässt sich unter Windows und macOS installieren.

FAQs zu InsightIDR:

Was ist InsightIDR?

Insight IDR ist ein cloudbasiertes SIEM-System, das Protokollmeldungen und Live-Informationen zur Netzwerkaktivität sammelt und diese Daten dann nach Anzeichen böswilliger Aktivitäten durchsucht.

Ist InsightIDR ein SIEM?

Ja. InsightIDR ist ein SIEM. Die Lieferung erfolgt als SaaS-System.

Wofür wird der Rapid7 Insight Agent verwendet?

Rapid7 betreibt eine SaaS-Plattform für Cybersicherheitsdienste namens Rapid7 Insight, die cloudbasiert ist und einen Datensammler auf dem zu schützenden System erfordert. Dieser Kollektor wird Insight Agent genannt. Wenn das Unternehmen mehrere Rapid7 Insight-Produkte abonniert, bedient der Insight Agent alle.

Verfügt Rapid7 über ein SIEM?

Rapid7 bietet auf seiner Insight-Plattform eine Reihe von Cyber-Sicherheitssystemen an. Von diesen Tools fungiert InsightIDR als SIEM.

^