次世代SIEM&ユーザ行動分析

Rapid7 insightIDR

クラウド型SIEMをベースとし、エンドポイントからクラウドまでの
ユーザ行動を監視・分析するソリューションです。

ユーザと攻撃者の行動を一元的に監視・分析
Rapid7 insightIDR

insightIDRは、Rapid7が持つ脅威インテリジェンスを活かした、クラウド型SIEMをベースとした脅威検出およびインシデントレスポンスソリューションです。攻撃者およびユーザ双方の観点で行動を分析し、従来のSIEMでは対応が困難であった脅威の検出を可能にします。ネットワークだけではなく、エンドポイントやクラウドサービスまで幅広い環境における統合的な脅威の監視と検出を行います。また、セキュリティの自動化技術を組み込み、端末の隔離やユーザの無効化、といったインシデント対応の自動化も実現します。

一元化
UNIFY

  • エンドポイント/サーバやネットワーク、セキュリティ機器からクラウド環境・サービスまで包括的にログ・イベントを一元管理
  • 生ログに対しユーザアカウントを含む各種情報を付加(アトリビューション)
  • Windows, Linux および macOS に対応したエージェントによるエンドポイントの可視化

検知
DETECT

  • MITRE ATT&CK フレームワークにフォーカスした検出
  • Rapid7 の脅威インテリジェンスをベースとした検出テクノロジーと事前定義アラートルール
  • ユーザ行動/アカウントにフォーカスした UBA と攻撃者の行動にフォーカスした ABA による検出

対応
RESPOND

  • アラートから自動で生成されるインシデントの調査画面/ワークスペース
  • 直観的かつ柔軟なログクエリ機能
  • Rapid7 の SOAR テクノロジーを組み込んだ Built-In Automation 機能

主な機能

SIEM
(ログ集約・分析および可視化)

  • ログ/イベント情報の集約およびフォーマット加工、およびアトリビューション(属性情報の付加)
  • コレクタ(ソフトウェアアプリケーション)、エンドポイントエージェントの利用によりデータセンターやオンプレミスネットワーク、IaaS/SaaS やエンドポイントまで広範囲な可視化を実現
  • 柔軟なログ検索

高度な脅威検出
(UBA/ABA/Threat Intel)

  • あらかじめ製品に組み込まれた検出技術とルールによる脅威の検出
  • サードパーティの脅威インテリジェンス連携による検出力の強化 | API 連携

カスタムアラート/
ダッシュボード/レポート

  • 自組織/環境に合ったアラートルールの作成
  • メール通知だけでなく Slack への通知
  • ログクエリ結果をカード/ウィジェット化し任意のダッシュボードを作成(例. コンプライアンスダッシュボード)
  • ダッシュボードをレポートとして保存/エクスポート

インシデント調査

  • アラートに連動したインシデント調査画面
  • 関連するアセットやユーザのイベントを相関分析し時系列で自動表示
  • スケジュールフォレンジック機能
  • 柔軟かつ容易なアラートチューニング

SOAR
(セキュリティ自動化)

  • インシデントレスポンスの自動化
  • ユーザアカウントの隔離、端末の隔離など
  • ケースマネジメント/チケット管理システムとの連携

FIM
(File Integrity Monitoring)

  • エンドポイントエージェント(Insight Agent)を利用し端末上のフォルダ/ファイルの変更監視
  • 必要に応じてカスタムアラートを作成し変更を検出
  • コンプライアンス対応(例. PCI-DSS)

備考: 2019 年 5 月現在 Windows のみ対応(Linux は今後対応予定)

ユーザと攻撃者の行動状況を一元管理。
リスクの検知と対応を加速するダッシュボード

行動状況を一元管理。リスクの検知と対応を加速するダッシュボード

システム構成

システム構成

insightIDR の強み

導入の容易性

  • クラウド型/SaaS(SIEM-as-a-Service)型の特長を最大限に活かしたスケーラブルなアーキテクチャ
  • 最小限の構築で利用開始可能
  • 本格運用開始までに必要な期間の短期化
  • コレクタやエージェントの追加利用に費用発生なし
  • イベント/ログボリュームに基づく厳密なサイジングやライセンス体系からの脱却

さまざまなユースケースに
対応した脅威の検出

  • MITRE ATT&CK Framework に対応したアタックチェーンの検出
  • ビルトインアラート
  • Rapid7 が持つ脅威インテリジェンスを活かした「ユーザ」と「攻撃者」視点での行動分析
  • オンプレミスネットワーク、エンドポイントおよびクラウド環境までを包括的に監視し脅威を可視化

脅威への対応

  • SOAR を組み込んだビルトイン自動化機能
  • エージェントによる端末の保護/隔離
  • アラートを起点に自動生成される調査用ワークスペース

▼ お問い合わせはコチラから