従来のSIEMは、データを読み込んで既知の脅威を発見することに重点が置かれており、アナリストはユーザーやアセットが取る「はず」の行動に基づいて手動でフィルタリングや設定を行う必要がありました。ここでは、基本的な分析やパターンマッチングなど、既知の、予測可能な行動を見つけるためのアプローチが用いられています。しかし、課題があります。今日における脅威の状況は、決して予測可能なものではないのです。
InsightIDRは、より高度で正体不明の脅威を検出するために必要な、分析能力と計算能力を備えています。即、使用可能な検出機能、視覚的なタイムラインや高度な行動解析を組み合わせ、ユーザーはデータを総合的に分析することができます。その結果、優れたコンテキストや環境への可視性がもたらされるのです。
さらに、Rapid7の専門家コミュニティがもう1歩先の機能を提供します。従来の即使用可能な検知機能とベースラインとなるユーザー行動に加えて、Rapid7の脅威インテリジェンスコミュニティ、検知と対応マネージドサービス(Managed Detection and Response)のアナリスト、機械学習、さらなるフィルタリングとデータサイエンスの能力を結集させました。つまりInsightIDRは、未知のドメインからのログインだけでなく、不自然な地域からのログインなどの、危険性を示すさらなる指標により真の脅威を検知し、警告します。
InsightIDRに組み込まれた専門知識、自動化、データの可視化などにより、どのように迅速な対応が可能となるかについて説明します。
詳しく見る