فهرست بستن

موارد جدید در InsightIDR: Q4 2021 در بررسی

موارد جدید در InsightIDR: Q4 2021 در بررسی

زمینه و سفارشی سازی بیشتر در مورد شناسایی ها و بررسی ها، قابلیت های داشبورد گسترده و موارد دیگر.

این پست نگاهی دقیق‌تر به برخی از نسخه‌های اخیر InsightIDR، راه‌حل تشخیص و پاسخ توسعه‌یافته (XDR) ما، از سه ماهه چهارم ۲۰۲۱ ارائه می‌کند. در سه ماهه گذشته، به‌روزرسانی‌هایی را برای کمک به شما در تصمیم‌گیری آگاهانه‌تر، تسریع در زمان پاسخ‌دهی ارائه کردیم. ، و تشخیص ها و تحقیقات خود را سفارشی کنید. در اینجا خلاصه ای از نکات برجسته است.

گزینه های سفارشی سازی بیشتر برای قوانین تشخیص شما

InsightIDR یک کتابخانه تشخیص بسیار مدیریت شده ارائه می دهد که توسط کارشناسان مرکز امنیت و عملیات (SOC) در تیم تشخیص و پاسخ مدیریت شده (MDR) ما بررسی شده است – اما ما می دانیم که برخی از تیم ها ممکن است توانایی تنظیم دقیق این موارد را حتی بیشتر بخواهند. در جمع بندی Q3 خود، تجربه مدیریت قوانین تشخیص جدید خود را برجسته کردیم. در این سه‌ماهه، گام‌های بیشتری در ارتقای قابلیت‌های خود در زمینه تشخیص‌ها برداشته‌ایم تا به شما کمک کنیم تا تصمیم‌های آگاهانه‌تری بگیرید و زمان پاسخ‌دهی خود را تسریع کنیم.

قوانین تشخیص تجزیه و تحلیل رفتار مهاجم بر اساس اولویت قانون مشاهده و مرتب شده اند

  • رابط مدیریت قوانین تشخیص جدید: با این رابط جدید، می توانید یک فیلد اولویت برای هر شناسایی ارائه شده توسط InsightIDR با اقدامات جدید موجود مشاهده کنید.

    • اولویت تشخیص ها و استثناهایی را که روی Creates Investigation به عنوان اقدام قانون تنظیم شده اند، تغییر دهید.
    • اولویت را از صفحه مدیریت تشخیص اصلی مشاهده و مرتب کنید.
    • جزئیات بیشتر در مورد تجربه قوانین تشخیص ما را می توانید در اسناد راهنمای ما در اینجا بیابید.
  • اولویت‌های قابل تنظیم برای قوانین شناسایی UBA و هشدارهای سفارشی: مشتریان اکنون می‌توانند یک اولویت قاعده (بحرانی، زیاد، متوسط ​​یا پایین) را برای همه قوانین UBA و تشخیص هشدار سفارشی خود مرتبط کنند. اولویت بعداً برای تحقیقات ایجاد شده توسط یک قانون تشخیص اعمال می شود.
  • راهی ساده برای ایجاد استثناها: ما بخش جدیدی را به جزئیات قوانین تشخیص در "ایجاد استثنا" اضافه کردیم تا بهتر بدانیم که در چه داده هایی باید استثنا بنویسیم. این تا 5 مورد جدیدترین تطابق مرتبط با آن قانون تشخیص را نشان می دهد – بنابراین اکنون، وقتی به نوشتن استثناها می روید، همه اطلاعاتی را که ممکن است نیاز داشته باشید در یک پنجره در اختیار دارید.

ماتریس MITRE ATT&CK برای قوانین تشخیص

این نمای جدید قوانین تشخیص را به تاکتیک ها و تکنیک های MITER که معمولاً توسط مهاجمان استفاده می شود، ترسیم می کند. این نما به شما امکان می‌دهد ببینید با قوانین تشخیص خارج از جعبه Rapid7 برای موارد استفاده متداول از مهاجمان، کجا پوشش دارید و هر قانون را برای درک ماهیت آن شناسایی بررسی کنید.

ماتریس MITER ATT&CK در قوانین تشخیص

مدیریت تحقیق دوباره تصور کرد

در Rapid7، ما می دانیم که زمان یک تحلیلگر امنیتی چقدر محدود است، بنابراین تجربه مدیریت تحقیق خود را برای کمک به کاربران خود برای بهبود سرعت و کیفیت تصمیم گیری خود در هنگام بررسی مجدد پیکربندی کردیم. در اینجا چیزی است که می توانید انتظار داشته باشید:

  • یک رابط کاربری اصلاح‌شده با کارت‌های قابل ارتقا که اطلاعات تحقیق را نمایش می‌دهند
  • امکان مشاهده، تنظیم و به روز رسانی اولویت، وضعیت یا وضعیت یک تحقیق
  • فیلتر کردن بر اساس فیلدهای زیر: محدوده تاریخ، واگذارنده، وضعیت، سطح اولویت

رابط تحقیقاتی جدید

ما همچنین بینش‌های مبتنی بر MITRE را در Investigations معرفی کردیم. اکنون، می‌توانید روی برگه جدید MITER ATT&CK پانل شواهد در Investigation کلیک کنید تا توضیحات مربوط به هر تاکتیک، تکنیک، و تکنیک فرعی را که توسط MITER تهیه شده است، ببینید و برای اطلاعات بیشتر به attack.mitre.org پیوند دهید.

برگه MITER ATT&CK در پانل شواهد تحقیقاتی

پاسخ تهدید اضطراری مداوم Rapid7 به Log4Shell

مانند بقیه جامعه امنیتی، ما به صورت داخلی به آسیب‌پذیری اجرای کد از راه دور حیاتی در کتابخانه Log4j جاوا آپاچی (با نام مستعار Log4Shell) پاسخ داده‌ایم.

از طریق همکاری مستمر و نظارت مستمر چشم‌انداز تهدید، تیم‌های پاسخ به حادثه، هوش تهدید و مهندسی تشخیص، و تیم‌های MDR با هم کار می‌کنند تا آخرین تکنیک‌های مورد استفاده توسط عوامل مخرب را پوشش دهند. می‌توانید به‌روزرسانی‌های پوشش شناسایی InsightIDR و MDR را در اینجا و داخل محصول مشاهده کنید.

با جدیدترین های Log4Shell به روز باشید:

یک کتابخانه دائماً در حال گسترش از داشبوردهای از پیش ساخته شده

کتابخانه داشبورد InsightIDR دارای یک مخزن رو به رشد از داشبوردهای از پیش ساخته شده است تا در وقت شما صرفه جویی کند و نیازی به ساخت آنها از ابتدا نداشته باشد. در سه ماهه چهارم، ما 15 داشبورد از پیش ساخته شده جدید را منتشر کردیم که شامل موارد زیر است:

  • انطباق (PCI، HIPAA، ISO)
  • امنیت عمومی (دیوار آتش، احراز هویت دارایی)
  • ابزارهای امنیتی (Okta، Palo Alto، Crowdstrike)
  • تجزیه و تحلیل ترافیک شبکه پیشرفته
  • امنیت ابری

کتابخانه داشبورد در InsightIDR

داشبورد اضافی و به روز رسانی گزارش

  • به‌روزرسانی‌هایی برای فیلتر داشبورد: فیلتر داشبورد به کاربران این امکان را می‌دهد که از بیانیه‌های LEQL و داده‌ها در تمام کارت‌های داشبورد خود پرس و جو کنند. مشتریان اکنون می توانند فیلتر داشبورد را با پرسش های ذخیره شده از جستجوی گزارش پر کنند، و همچنین یک فیلتر را در داشبورد ذخیره کنند و نیازی به بازسازی آن در هر جلسه را از بین ببرند.
  • شرح‌های نمودار: ما این قابلیت را برای کاربران اضافه کرده‌ایم که زیرنویس‌های متنی ساده را روی نمودارها بنویسند تا زمینه بیشتری در مورد تجسم فراهم کنیم.
  • پرسش‌های چند گروهی و عملکرد تمرینی: ما جستارهای چند گروهی را فعال کرده‌ایم (که قبلاً در جستجوی گزارش استفاده می‌شود) تا مشتریان بتوانند از آن‌ها در داشبورد خود استفاده کنند و کارت‌هایی با داده‌های لایه‌ای ایجاد کنند. می تواند در داخل و خارج سوراخ کند.

به‌روزرسانی‌های جستجوی گزارش و منابع رویداد

ما اخیراً نام‌های منبع Rapid7 (RRN) را معرفی کرده‌ایم که شناسه‌های منحصربه‌فردی هستند که در جستجوی گزارش به کاربران، دارایی‌ها و حساب‌ها اضافه می‌شوند. یک RRN به عنوان یک شناسه منحصر به فرد برای منابع پلتفرم در Rapid7 عمل می کند. این شناسه منحصر به فرد بدون در نظر گرفتن هر تعداد نام/برچسب مرتبط با منبع، با منبع سازگار می ماند.

در جستجوی گزارش، یک شی "R7_context" برای مجموعه‌های گزارشی که دارای یک کاربر، دارایی، حساب یا حساب محلی منتسب هستند، اضافه شده است. در شیء "R7_context"، هر RRN قابل اجرا را خواهید دید. می‌توانید از RRN به‌عنوان جستجویی در جستجوی گزارش یا در جستجوی سراسری (که به کاربران و حساب‌ها یا صفحات دارایی‌ها و نقاط پایانی پیوند می‌خورد) برای کمک به جستجوهای مطمئن‌تر برای فرآیندهای تحقیق استفاده کنید.

داده های جدید "r7_context" Rapid7 Resource Name (RRN) در جستجوی گزارش

به روز رسانی منبع رویداد

  • اسناد خط ورود برای فایروال و VPN Palo Alto، Proofpoint TAP، Fortinet Fortigate: هنگام تنظیم یک منبع رویداد، اکنون می‌توانید از اطلاعات موجود مستقیماً در خطوط گزارش منبع استفاده کنید، نه اینکه صرفاً بر موتور اسناد سنتی InsightIDR تکیه کنید.
  • منبع رویداد Cylance Protect Cloud: می‌توانید ابر CylancePROTECT را برای ارسال رویدادهای شناسایی به InsightIDR پیکربندی کنید تا آلودگی ویروس و هشدارهای شخص ثالث ایجاد شود.
  • فهرست‌های منبع رویداد InsightIDR در مرکز برنامه‌های افزودنی Rapid7 موجود است: به راحتی به همه محتوای مرتبط با منبع رویداد InsightIDR در یک مکان متمرکز دسترسی داشته باشید.

به‌روزرسانی‌هایی برای قابلیت‌های تحلیل ترافیک شبکه

حسگر شبکه Insight بهینه‌سازی شده برای استقرار 10Gbs+: ما طیفی از ارتقاء عملکرد را معرفی کرده‌ایم که تجزیه و تحلیل ترافیک پرسرعت را با استفاده از سخت‌افزار در دسترس‌تر می‌سازد، بنابراین شما می‌توانید ترافیک شرق-غرب و شمال-جنوب را در داخل مشاهده کنید. شبکه های فیزیکی، مجازی و مبتنی بر ابر. اگر می‌خواهید از این به‌روزرسانی‌ها نهایت استفاده را ببرید، الزامات حسگر به‌روزرسانی شده را اینجا ببینید.

به روز رسانی صفحه دارایی InsightIDR: ما عناصر داده و تصاویر اضافی را به صفحه دارایی ها معرفی کرده ایم. این موضوع زمینه بیشتری را برای تحقیقات فراهم می‌کند و عیب‌یابی سریع‌تر را ممکن می‌سازد، زیرا دارایی‌ها و اطلاعات کاربر در یک مکان هستند. همه مشتریان به موارد زیر دسترسی دارند:

  • رویدادهای IDS برتر که توسط دارایی راه‌اندازی شده‌اند
  • برترین جستارهای DNS

برای مشتریان دارای حسگرهای شبکه Insight و ENTA، این عناصر اضافی در دسترس هستند:

  • برترین برنامه ها
  • کشورها بر اساس مکان دارایی
  • آدرس های IP مقصد برتر

با ما همراه باشید!

مثل همیشه، ما در طول سال به کار بر روی بهبودهای محصول و عرضه های هیجان انگیز ادامه می دهیم. به وبلاگ ما و یادداشت‌های انتشار آن توجه داشته باشید، زیرا همچنان جدیدترین‌های تشخیص و پاسخ را در Rapid7 برجسته می‌کنیم.
.