InsightIDRの特徴

InsightIDRの中核をなすのは、最先端の次世代クラウド型SIEMです。ネイティブクラウドのデータレイク、多様なログ収集機能、カスタムログ解析、柔軟な検索とレポート機能などにより、最も難解なデータを分析し、インサイトをより早く発見することができます。Rapid7のSIEMでは、ログを延々と検索したり、複雑なクエリを書いたり、データ発見の専門家を雇ったりといった面倒な作業が不要になります。InsightIDRは、お使いの環境で日々発生する何百万ものイベントを、その背後に存在するユーザーや資産に直接相関させます。組織全体のリスクを明らかにし、検索すべき場所に優先順位を付けます。

攻撃者の行動について継続的に研究しているRapid7は、エンドポイントが悪用される頻度や、特に従業員が企業ネットワークから離れている場合に、エンドポイントを監視するための作業量について理解しています。そこで、InsightIDRは、製品横断型の汎用Insight Agentとエンドポイントスキャンを標準で備えています。リアルタイムで検出をおこない、解決策をプロアクティブに探ることができます。

InsightIDRに、ネットワークトラフィック分析のオープンプレビュー機能が新たに追加されました。 これは、Rapid7が2019年にセキュリティ分析/自動化の業界リーダーであるNetFortを買収したことで実現しました。NetFortの技術を活かして今後、機能追加していく中で、オープンプレビュー機能はその第一弾となります。

Verizon DBIRによれば、2017年に発生したハッキング関連の侵害の80%で、盗まれたパスワード、脆弱なパスワード、推測可能なパスワードのいずれかが使われていました。攻撃者は、マルウェアでアセットを侵害するだけでなく、トラフィック操作やハッシュ抽出などの技術で盗み取ったクレデンシャルを使用して、アセット間で侵入を拡大します。継続的に組織内の正常なユーザーアクティビティをベースラインとすることで、InsightIDRは、定義された侵害の兆候よりも広い範囲を対象に、企業の従業員に偽装している攻撃者を確実に検出します。

最先端のクラウド型SIEM基盤を核とするInsightIDRは、サードパーティの強力な統合ライブラリをサポートしており、即使用可能なエンドポイント、ネットワーク、ユーザーのカバレージを補完します。現在使用しているIaaSやクラウドアプリケーションに関わらず、ネイティブなSaaSインフラと柔軟なログ取り込みにより、データの迅速な収集と容易な拡張が可能になります。InsightIDRは、刻々と変化するダイナミックな環境に対応しており、巧妙な攻撃者の一歩先を行くことができます。クラウド上の異常な活動や脅威を簡単に発見することができます。また、他のシステムから検知結果を取り込んで、その他のデータと一緒に分析および調査することができます。

InsightIDRは、内部および外部の脅威インテリジェンスを活用し、ポストペリメーターの攻撃面全体を網羅します。検知ライブラリには、Rapid7のオープンソースコミュニティが提供する脅威インテリジェンス、高度な攻撃面マッピング、および独自の機械学習が含まれています。検知結果は、Rapid7の脅威インテリジェンスと検知エンジニアリングの専門家チームによって収集、管理され、常に微調整が加えられています。SaaS型の提供により、常に最新の情報に瞬時にアクセスすることが可能です。また、面倒なルール作りや調整は必要ありません。すべては、グローバルMDRチームが現場で検証済みで、羨望されるようなユーザーエクスペリエンスを実現します。

Rapid7の厳選された検出と攻撃者の行動に関する膨大なライブラリは、攻撃者の戦術やテクニックのオープンでグローバルな知識ベースであるMITRE ATT&CK®フレームワークに詳細にマッピングされています。 Rapid7は、MITREのオープンさや、コミュニティとのコラボレーションを信用していますし、 実際、それを実践しています。

ログファイルを分析するだけの監視ソリューションでは、攻撃者の痕跡は見つかりません。Rapid7は、攻撃者の行動について深く理解しています。InsightIDRは、その理解に基づいて、ユーザー行動分析やエンドポイント検出を提供するだけでなく、侵入者に対するトラップを簡単に展開できます。トラップには、ハニーポット、ハニーユーザー、ハニークレデンシャル、ハニーファイルなどがあり、いずれも攻撃の初期段階で悪意のある行動を識別するために作成されています。

62%の組織が、調査できないほどの量のアラートを受け取っていると回答しています。そのような状況では、ユーザーの行動をつなぎ合わせ、エンドポイントデータを収集し、既知の正常な行動を検証しても、結局また別の誤検知が見つかることになるでしょう。InsightIDRは、ログ検索、ユーザー行動、エンドポイントデータを1つのタイムラインに結合し、スマートな意思決定を迅速におこなえるように支援します。どれほど迅速かというと、お客様の報告によれば、調査が20倍ほど速くなります。

セキュリティチームは、進化し続ける環境に取り残されることなく、攻撃者の一歩先を行き、リソース不足という業界の制約に立ち向かうため、セキュリティ運用の効率性を高める方法を見つける必要があります。

InsightIDRには、セキュリティ運用の効率性を向上させる、いくつもの自動化機能があります。これには、エンドポイントでの脅威の封じ込め、ユーザーアカウントの一時停止、チケットシステムとの統合などが可能である、事前作成済みのワークフローが含まれます。この機能をさらに強化するため、InsightIDRでは、最近、これらのワークフローに、オープンソースの脅威インテリジェンスを通じたエンリッチメントが追加されました。また、ユーザー行動分析（UBA）のアラートから、これらのワークフロー（またはInsightConnectワークフロー）をトリガーできるようになりました。