Administrateur Réseau

Examen et alternatives Rapid7 insightIDR

Examen insightIDR et alternatives



Aperçu Rapid7IDR utilise des techniques innovantes pour détecter les intrusions sur le réseau et les menaces internes. En utilisant toutes les informations que l'approche SIEM à plusieurs volets peut offrir, insightIDR accélère le processus de détection et met fin à l'attaque.

La stratégie SIEM

SIEM est un terme composite. Il combine LEQUEL et Oui . SEM signifie Gestion des événements de sécurité ; Les systèmes SEM collectent des données d'activité en temps réel. SIM signifie Gestion des informations de sécurité , qui consiste à analyser les fichiers journaux à la recherche de signes d'activités suspectes. SIEM combine ces deux stratégies en Gestion des informations de sécurité et des événements.



Traditionnel systèmes de détection d'intrusion (IDS) capturent les données de trafic et examinent les en-têtes des paquets pour analyser l'activité. Un moniteur IDS catégorise rapidement tout le trafic par adresses IP source et destination et numéros de port. Ces deux identifiants peuvent ensuite être référencés à des appareils spécifiques et même à des utilisateurs spécifiques. La référence du numéro de port peut expliquer les protocoles et les applications auxquels chaque transmission se rapporte. C’est la stratégie SEM.

SEM est idéal pour détecter les afflux de données sortantes qui pourraient représenter un vol de données. Cependant, il ne peut pas dire si un fichier sortant est une liste de cartes de crédit client ou un argumentaire de vente adressé à un client potentiel. Lorsque le contenu est crypté, les systèmes SEM ont encore moins de chances de déterminer si une transmission est légitime. L'identification des actions non autorisées est encore plus difficile si un utilisateur autorisé du réseau est à l'origine du vol de données.



Une stratégie SEM est attrayante car c'est immédiat mais la vitesse n’est pas toujours une formule gagnante. SIM offre la furtivité. Cela implique le traitement des messages d'événements et de journaux provenant de nombreux points différents du système. Il recherche des combinaisons connues d'actions indiquant des activités malveillantes. La SIM est meilleure pour identifier les menaces internes et des menaces persistantes avancées, car il peut détecter lorsqu'un compte d'utilisateur autorisé affiche un comportement inattendu. Ainsi, il peut identifier les violations de données et les attaques du système par compte utilisateur, ce qui permet de déterminer si ce compte a été piraté ou si l'utilisateur de ce compte a été contraint de coopérer. SIEM offre une combinaison de vitesse et de furtivité.

À propos de Rapid7

Rapid7 travaille dans le domaine de la cyberdéfense depuis 20 ans. La société gère un cabinet de conseil pour aider les entreprises à renforcer leurs systèmes contre les attaques et répond également aux appels d'urgence des organisations attaquées.

Tableau de bord principal insightIDR - vue des fonctionnalités clés

En plus de tester les systèmes et de nettoyer les pirates informatiques, la société produit des logiciels de sécurité et propose un service de sécurité géré.

Rapid7 exploite un laboratoire de recherche qui parcourt le monde à la recherche de nouvelles stratégies d'attaque et formule des défenses. Le laboratoire utilise les propres outils des entreprises pour examiner les exploits et déterminer comment les neutraliser. L’outil le plus célèbre de l’arsenal de Rapid7 est Métasploit . Il s'agit d'un projet open source qui produit des outils de tests d'intrusion. Lorsque Rapid7 évalue les vulnérabilités du système d’un client, il envoie un rapport démontrant comment le personnel du cabinet de conseil a réussi à briser ce système.

Avantages:

  • Exploite l'analyse comportementale pour détecter les menaces qui contournent la détection basée sur les signatures
  • Utilise plusieurs flux de données pour disposer des méthodologies d'analyse des menaces les plus récentes
  • Permet une correction automatisée robuste

Les inconvénients:

  • Le prix est plus élevé que celui des outils similaires sur le marché
  • Certaines fonctionnalités peuvent nécessiter des plugins payants

insightIDR fait partie du menu de logiciel de défense du système que Rapid7 a développé à partir de ses connaissances sur les stratégies des pirates informatiques. Rapid7 propose un essai gratuit .

Fonctionnalités insightIDR

InsightIDR est un système de détection et de réponse aux intrusions , hébergé sur le cloud. La partie détection d’intrusion des capacités de l’outil utilise des stratégies SIEM. Le journal qui regroupe des parties du système effectue également des tâches de gestion des journaux. L'outil s'étend même au-delà des limites typiques du SIEM en mettant en œuvre des actions pour arrêter les intrusions plutôt que de simplement les identifier.

Les mécanismes d’insightIDR réduisent l’incidence des fausses déclarations. Avec autant de points de collecte de données et d’algorithmes de détection différents, un administrateur réseau peut se laisser submerger par les alertes d’un outil SIEM diligent. Les informations sont combinées et événements liés sont regroupées en une seule alerte dans le tableau de bord de gestion. insightIDR réduit le temps qu'un administrateur doit consacrer à la surveillance des rapports de l'outil de défense du système.

Voici quelques-uns des principaux éléments d’insightIDR.

Analyse du comportement des utilisateurs

Un gros problème avec les logiciels de sécurité est le taux de détection de faux positifs . De nombreux systèmes de protection contre les intrusions garantissent le blocage des activités non autorisées, tout en empêchant simultanément tous les acteurs de l'entreprise de faire leur travail.

La seule solution aux faux positifs consiste à calibrer le système de défense pour faire la distinction entre les activités légitimes et les intentions malveillantes. Le module User Behaviour Analytics d’insightIDR vise exactement cela. Ce module crée une base d’activité normale par utilisateur et/ou groupe d'utilisateurs. Si les comportements changent soudainement, le système dense doit examiner les comptes suspects. Ils ont peut-être été détournés.

Observer simultanément chaque utilisateur ne peut pas être une tâche manuelle. Cependant, cela est nécessaire pour repérer et mettre fin aux stratégies de manipulation de compte de pirate informatique, qu’elles soient typiques ou innovantes. Cette tâche ne peut être effectuée que par un processus automatisé. Cela nécessite des méthodologies sophistiquées, telles que apprentissage automatique , pour empêcher le système de bloquer les utilisateurs légitimes.

Analyse du comportement des attaquants

Attacker Behaviour Analytics (ABA) est l’atout dans la manche de Rapid7. Cette fonctionnalité est le produit du service années de travail de recherche et de conseil . Les analystes de Rapid7 travaillent chaque jour pour cartographier les attaques jusqu'à leurs sources, identifiant ainsi des groupes de stratégies et de modèles de comportement que chaque groupe de pirates informatiques aime utiliser.

Les recherches des analystes de Rapid7 sont cartographiées en « chaînes d'attaque .» Si le groupe de hackers A est entré et a fait X, vous allez probablement être touché par Y puis Z parce que c'est ce que fait toujours le groupe de hackers A. Ainsi, Attacker Behaviour Analytics génère des avertissements. Dès que X se produit, l’équipe peut renforcer le système contre Y et Z tout en arrêtant X.

insightIDR – Vue Détails de l

Protection des points de terminaison

Les fonctions analytiques d'insightIDR sont toutes exécutées sur le serveur Rapid7. C’est idéal pour alléger la charge sur l’infrastructure des sites clients, mais cela introduit une faiblesse potentielle. Tous les appareils ne peuvent pas être contactés à tout moment sur Internet. Si toutes les routines de détection sont basées à distance, un pirate informatique avisé n’a qu’à couper ou intercepter et altérer cette connexion.

Pour lutter contre cette faiblesse, insightIDR inclut le Agent d'analyse . Il s'agit d'un logiciel qui doit être installé sur chaque point final surveillé. L'agent Insight est capable de fonctionner de manière indépendante et de télécharger des données ou des mises à jour chaque fois qu'une connexion devient disponible. Tant que l'appareil surveillé est hors ligne, l'agent continue de fonctionner.

Dans le modèle SIEM, les activités de l'Insight Agent se résument à la collecte de messages d'événements et de journaux ainsi qu'à la génération d'enregistrements de journaux originaux grâce à une surveillance en temps réel. Pendant qu'une connexion est maintenue, l'agent Insight diffuse toutes ces données de journal jusqu'au serveur Rapid7 pour la corrélation et l'analyse. Cependant, l'agent est également capable de déclencher des alertes localement et de prendre des mesures pour mettre fin aux attaques détectées.

Les points de terminaison constituent l’emplacement idéal pour examiner le comportement des utilisateurs, chaque agent n’ayant qu’un seul utilisateur sur lequel se concentrer. Les informations tirées de ce processus de surveillance sont centralisées, permettant au moteur analytique Rapid7 d'identifier les conversations, les habitudes et les connexions inattendues. La surveillance des utilisateurs est une exigence de FIPS NIST .

Analyse du trafic réseau

La partie SEM du SIEM s'appuie fortement sur surveillance du trafic réseau . Le module d'analyse du trafic réseau d'insightIDR est un élément essentiel des sections SEM du système.

insightIDR - Données réseau - Vue Activité de périmètre

Les données issues de la surveillance du réseau sont utiles en temps réel pour suivre les mouvements des intrus et les extraits contribuent également aux procédures d'analyse des journaux. Ainsi, les données réseau font partie des procédures SEM et SIM dans Rapid7 insightIDR.

Gestion centralisée des journaux

Les méthodes SIM nécessitent une analyse approfondie des fichiers journaux. Afin de terminer ce travail, les messages de journal doivent être centralisés, de sorte que tous les messages d'événements et syslog, ainsi que les données d'activité générées par les modules SEM, soient téléchargés sur le serveur Rapid7. SIM nécessite que les enregistrements de journaux soient réorganisés dans un format standard. Ainsi, en prime, insightIDR agit comme un serveur de journaux et un consolidateur .

insightIDR stocke les données du journal pendant 13 mois. Pendant les trois premiers mois, les logs sont immédiatement accessibles pour analyse. Pendant les 10 mois restants, les données du journal sont archivées mais peuvent être rappelées. Les données sont protégées par cryptage pendant leur stockage. Cette solution vous permet donc de vous conformer à une série de normes de sécurité des données, notamment SOX et PCI DSS .

Surveillance de l'intégrité des fichiers (FIM)

La surveillance de l'intégrité des fichiers (FIM) est une stratégie bien connue pour la défense du système. Il est particulièrement important de protéger les fichiers journaux contre toute falsification, car les intrus qui couvrent leurs traces se contenteront d'entrer et de supprimer les enregistrements incriminés.

Plusieurs normes de sécurité des données nécessitent une surveillance de l'intégrité des fichiers. Ceux-ci inclus PCI DSS , HIPAA , et RGPD . Ainsi, le module FIM dans insightIDR est un autre bonus pour les entreprises tenues de suivre l'une de ces normes. Ils n’auront pas besoin d’acheter des systèmes FIM séparés.

Cette fonction est exécutée par l'Insight Agent installé sur chaque appareil. La console d'insightIDR permet au gestionnaire système de désigner des répertoires, fichiers ou types de fichiers spécifiques à protéger. Des modèles pré-écrits recommandent des sources de données spécifiques selon une norme de sécurité des données particulière.

La protection des fichiers contre la falsification évite beaucoup de travail qui serait nécessaire pour récupérer d'un intrus détecté. Les entreprises n’ont pas seulement à se soucier événements de perte de données . Les normes de sécurité des données autorisent certains incidents. Cependant, votre entreprise exigera un audit de conformité par un cabinet de conseil externe et si une violation non signalée est détectée, votre entreprise sera en grande difficulté.

Technologie de tromperie

Les systèmes SIEM identifient généralement simplement les événements possibles d’intrusion ou de vol de données ; il n’existe pas beaucoup de systèmes qui mettent en œuvre des réponses. Rapid7 insightIDR est l'un des rares systèmes SIEM à déployer une technologie astucieuse pour piéger les intrus . Deception Technology est le module insightIDR qui implémente une protection avancée pour les systèmes.

La stratégie de technologie de détection d'insightIDR crée pots de miel pour attirer les intrus loin des véritables référentiels de données précieuses en créant des accès apparemment faciles au système. Ces fausses pistes mènent à des impasses et déclenchent immédiatement des alertes. Les techniques utilisées dans ce module ont été développées par le Projet Metasploit et aussi le Projet Heisenberg et Projet Sonar . Il s'agit de projets en cours, de sorte que les systèmes de défense d'insightIDR évoluent constamment pour tenir compte de la prudence des pirates informatiques par rapport à leurs expériences antérieures avec les pots de miel.

Automatisation

IDR signifie «je détection des incidents et réponse .» L’automatisation des tâches met en œuvre le «  R. » en IDR. Les éléments de réponse d’insightIDR qualifient l’outil d’être classé comme un système de prévention des intrusions. En règle générale, les IPS interagissent avec les pare-feu et les systèmes de droits d'accès pour bloquer immédiatement l'accès au système aux comptes et adresses IP suspects.

Les autres fonctions de surveillance des comptes incluent analyse des vulnérabilités pour repérer et suspendre les comptes d'utilisateurs abandonnés. Déploiement de Rapid7 insightIDR automatisation de la défense avant toute attaque afin de renforcer le système protégé et met également en œuvre des processus automatisés pour arrêter les incidents détectés.

Alternatives à Rapid7 insightIDR

insightIDR est un système SIEM complet et innovant. Cependant, ce n’est pas le seul SIEM de pointe sur le marché. Pour en savoir plus sur les systèmes SIEM, jetez un œil à notre article sur le meilleurs outils SIEM .

Si vous n'avez pas le temps de lire une liste détaillée des critiques d'outils SIEM, voici une liste rapide des principaux concurrents de Rapid7 InsightIDR.

  1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT) Un outil SIEM de SolarWinds qui inclut une réponse aux incidents en temps réel. Ce logiciel s'installe sur Windows Server et inclut une surveillance de la conformité et des rapports prêts à l'emploi. Démarrez un essai gratuit de 30 jours.
  2. Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Fournit des fonctions SIM et peut être associé à Log360 pour les services SEM. Il s'installe sur Windows et Linux. Démarrez un essai gratuit de 30 jours.
  3. Surveillance de la sécurité Datadog Un système SIEM basé sur le cloud intégré à un outil de surveillance du réseau.
  4. Gestionnaire de sécurité McAfee Enterprise Un outil SIEM qui se concentre sur la gestion et l'interrogation d'Active Directory. Il s'installe sur Windows et Mac OS.
  5. Fortinet FortiSIEM Un concurrent proche d'insightIDR qui comprend une gamme de tactiques de détection ainsi que des réponses de défense automatisées.
  6. Sécurité d'entreprise Splunk Un scanner de réseau bien connu qui comprend des fonctions d'analyse et des capacités de gestion des journaux. Il s'installe sur Windows et Linux.
  7. OSSEC Un IDS open source gratuit avec de solides routines d'analyse des journaux. Il s'installe sur Windows, Mac OS, Linux et Unix.
  8. Plateforme SIEM LogRhythm NextGen Il utilise des techniques d'IA pour l'analyse du trafic et des journaux. Il s'installe sur Windows et Linux.
  9. AT&T Cybersecurity Gestion unifiée de la sécurité AlienVault Un IDS puissant qui met en œuvre une gamme de stratégies de détection, notamment SIEM. Il s'installe sur Windows et macOS.

FAQ InsightIDR :

Qu’est-ce qu’InsightIDR ?

Insight IDR est un système SIEM basé sur le cloud qui collecte les messages de journal et les informations sur l'activité réseau en direct, puis recherche dans ces données des signes d'activité malveillante.

InsightIDR est-il un SIEM ?

Oui. InsightIDR est un SIEM. Il est fourni sous forme de système SaaS.

À quoi sert l’agent d’analyse Rapid7 ?

Rapid7 exploite une plate-forme SaaS de services de cybersécurité, appelée Rapid7 Insight, qui, étant basée sur le cloud, nécessite un collecteur de données sur le système protégé. Ce collecteur est appelé Insight Agent. Si l'entreprise s'abonne à plusieurs produits Rapid7 Insight, l'agent Insight les sert tous.

Rapid7 dispose-t-il d'un SIEM ?

Rapid7 propose une gamme de systèmes de cybersécurité à partir de sa plateforme Insight. Parmi ces outils, InsightIDR fonctionne comme un SIEM.

^