زمینه و سفارشی سازی بیشتر در مورد شناسایی ها و بررسی ها، قابلیت های داشبورد گسترده و موارد دیگر.
این پست نگاهی دقیقتر به برخی از نسخههای اخیر InsightIDR، راهحل تشخیص و پاسخ توسعهیافته (XDR) ما، از سه ماهه چهارم ۲۰۲۱ ارائه میکند. در سه ماهه گذشته، بهروزرسانیهایی را برای کمک به شما در تصمیمگیری آگاهانهتر، تسریع در زمان پاسخدهی ارائه کردیم. ، و تشخیص ها و تحقیقات خود را سفارشی کنید. در اینجا خلاصه ای از نکات برجسته است.
گزینه های سفارشی سازی بیشتر برای قوانین تشخیص شما
InsightIDR یک کتابخانه تشخیص بسیار مدیریت شده ارائه می دهد که توسط کارشناسان مرکز امنیت و عملیات (SOC) در تیم تشخیص و پاسخ مدیریت شده (MDR) ما بررسی شده است – اما ما می دانیم که برخی از تیم ها ممکن است توانایی تنظیم دقیق این موارد را حتی بیشتر بخواهند. در جمع بندی Q3 خود، تجربه مدیریت قوانین تشخیص جدید خود را برجسته کردیم. در این سهماهه، گامهای بیشتری در ارتقای قابلیتهای خود در زمینه تشخیصها برداشتهایم تا به شما کمک کنیم تا تصمیمهای آگاهانهتری بگیرید و زمان پاسخدهی خود را تسریع کنیم.
قوانین تشخیص تجزیه و تحلیل رفتار مهاجم بر اساس اولویت قانون مشاهده و مرتب شده اند
- رابط مدیریت قوانین تشخیص جدید: با این رابط جدید، می توانید یک فیلد اولویت برای هر شناسایی ارائه شده توسط InsightIDR با اقدامات جدید موجود مشاهده کنید.
- اولویتهای قابل تنظیم برای قوانین شناسایی UBA و هشدارهای سفارشی: مشتریان اکنون میتوانند یک اولویت قاعده (بحرانی، زیاد، متوسط یا پایین) را برای همه قوانین UBA و تشخیص هشدار سفارشی خود مرتبط کنند. اولویت بعداً برای تحقیقات ایجاد شده توسط یک قانون تشخیص اعمال می شود.
- راهی ساده برای ایجاد استثناها: ما بخش جدیدی را به جزئیات قوانین تشخیص در "ایجاد استثنا" اضافه کردیم تا بهتر بدانیم که در چه داده هایی باید استثنا بنویسیم. این تا 5 مورد جدیدترین تطابق مرتبط با آن قانون تشخیص را نشان می دهد – بنابراین اکنون، وقتی به نوشتن استثناها می روید، همه اطلاعاتی را که ممکن است نیاز داشته باشید در یک پنجره در اختیار دارید.
ماتریس MITRE ATT&CK برای قوانین تشخیص
این نمای جدید قوانین تشخیص را به تاکتیک ها و تکنیک های MITER که معمولاً توسط مهاجمان استفاده می شود، ترسیم می کند. این نما به شما امکان میدهد ببینید با قوانین تشخیص خارج از جعبه Rapid7 برای موارد استفاده متداول از مهاجمان، کجا پوشش دارید و هر قانون را برای درک ماهیت آن شناسایی بررسی کنید.
ماتریس MITER ATT&CK در قوانین تشخیص
در Rapid7، ما می دانیم که زمان یک تحلیلگر امنیتی چقدر محدود است، بنابراین تجربه مدیریت تحقیق خود را برای کمک به کاربران خود برای بهبود سرعت و کیفیت تصمیم گیری خود در هنگام بررسی مجدد پیکربندی کردیم. در اینجا چیزی است که می توانید انتظار داشته باشید:
- یک رابط کاربری اصلاحشده با کارتهای قابل ارتقا که اطلاعات تحقیق را نمایش میدهند
- امکان مشاهده، تنظیم و به روز رسانی اولویت، وضعیت یا وضعیت یک تحقیق
- فیلتر کردن بر اساس فیلدهای زیر: محدوده تاریخ، واگذارنده، وضعیت، سطح اولویت
رابط تحقیقاتی جدید
ما همچنین بینشهای مبتنی بر MITRE را در Investigations معرفی کردیم. اکنون، میتوانید روی برگه جدید MITER ATT&CK پانل شواهد در Investigation کلیک کنید تا توضیحات مربوط به هر تاکتیک، تکنیک، و تکنیک فرعی را که توسط MITER تهیه شده است، ببینید و برای اطلاعات بیشتر به attack.mitre.org پیوند دهید.
برگه MITER ATT&CK در پانل شواهد تحقیقاتی
پاسخ تهدید اضطراری مداوم Rapid7 به Log4Shell
مانند بقیه جامعه امنیتی، ما به صورت داخلی به آسیبپذیری اجرای کد از راه دور حیاتی در کتابخانه Log4j جاوا آپاچی (با نام مستعار Log4Shell) پاسخ دادهایم.
از طریق همکاری مستمر و نظارت مستمر چشمانداز تهدید، تیمهای پاسخ به حادثه، هوش تهدید و مهندسی تشخیص، و تیمهای MDR با هم کار میکنند تا آخرین تکنیکهای مورد استفاده توسط عوامل مخرب را پوشش دهند. میتوانید بهروزرسانیهای پوشش شناسایی InsightIDR و MDR را در اینجا و داخل محصول مشاهده کنید.
با جدیدترین های Log4Shell به روز باشید:
یک کتابخانه دائماً در حال گسترش از داشبوردهای از پیش ساخته شده
کتابخانه داشبورد InsightIDR دارای یک مخزن رو به رشد از داشبوردهای از پیش ساخته شده است تا در وقت شما صرفه جویی کند و نیازی به ساخت آنها از ابتدا نداشته باشد. در سه ماهه چهارم، ما 15 داشبورد از پیش ساخته شده جدید را منتشر کردیم که شامل موارد زیر است:
- انطباق (PCI، HIPAA، ISO)
- امنیت عمومی (دیوار آتش، احراز هویت دارایی)
- ابزارهای امنیتی (Okta، Palo Alto، Crowdstrike)
- تجزیه و تحلیل ترافیک شبکه پیشرفته
- امنیت ابری
کتابخانه داشبورد در InsightIDR
داشبورد اضافی و به روز رسانی گزارش
- بهروزرسانیهایی برای فیلتر داشبورد: فیلتر داشبورد به کاربران این امکان را میدهد که از بیانیههای LEQL و دادهها در تمام کارتهای داشبورد خود پرس و جو کنند. مشتریان اکنون می توانند فیلتر داشبورد را با پرسش های ذخیره شده از جستجوی گزارش پر کنند، و همچنین یک فیلتر را در داشبورد ذخیره کنند و نیازی به بازسازی آن در هر جلسه را از بین ببرند.
- شرحهای نمودار: ما این قابلیت را برای کاربران اضافه کردهایم که زیرنویسهای متنی ساده را روی نمودارها بنویسند تا زمینه بیشتری در مورد تجسم فراهم کنیم.
- پرسشهای چند گروهی و عملکرد تمرینی: ما جستارهای چند گروهی را فعال کردهایم (که قبلاً در جستجوی گزارش استفاده میشود) تا مشتریان بتوانند از آنها در داشبورد خود استفاده کنند و کارتهایی با دادههای لایهای ایجاد کنند. می تواند در داخل و خارج سوراخ کند.
بهروزرسانیهای جستجوی گزارش و منابع رویداد
ما اخیراً نامهای منبع Rapid7 (RRN) را معرفی کردهایم که شناسههای منحصربهفردی هستند که در جستجوی گزارش به کاربران، داراییها و حسابها اضافه میشوند. یک RRN به عنوان یک شناسه منحصر به فرد برای منابع پلتفرم در Rapid7 عمل می کند. این شناسه منحصر به فرد بدون در نظر گرفتن هر تعداد نام/برچسب مرتبط با منبع، با منبع سازگار می ماند.
در جستجوی گزارش، یک شی "R7_context" برای مجموعههای گزارشی که دارای یک کاربر، دارایی، حساب یا حساب محلی منتسب هستند، اضافه شده است. در شیء "R7_context"، هر RRN قابل اجرا را خواهید دید. میتوانید از RRN بهعنوان جستجویی در جستجوی گزارش یا در جستجوی سراسری (که به کاربران و حسابها یا صفحات داراییها و نقاط پایانی پیوند میخورد) برای کمک به جستجوهای مطمئنتر برای فرآیندهای تحقیق استفاده کنید.
داده های جدید "r7_context" Rapid7 Resource Name (RRN) در جستجوی گزارش
- اسناد خط ورود برای فایروال و VPN Palo Alto، Proofpoint TAP، Fortinet Fortigate: هنگام تنظیم یک منبع رویداد، اکنون میتوانید از اطلاعات موجود مستقیماً در خطوط گزارش منبع استفاده کنید، نه اینکه صرفاً بر موتور اسناد سنتی InsightIDR تکیه کنید.
- منبع رویداد Cylance Protect Cloud: میتوانید ابر CylancePROTECT را برای ارسال رویدادهای شناسایی به InsightIDR پیکربندی کنید تا آلودگی ویروس و هشدارهای شخص ثالث ایجاد شود.
- فهرستهای منبع رویداد InsightIDR در مرکز برنامههای افزودنی Rapid7 موجود است: به راحتی به همه محتوای مرتبط با منبع رویداد InsightIDR در یک مکان متمرکز دسترسی داشته باشید.
بهروزرسانیهایی برای قابلیتهای تحلیل ترافیک شبکه
حسگر شبکه Insight بهینهسازی شده برای استقرار 10Gbs+: ما طیفی از ارتقاء عملکرد را معرفی کردهایم که تجزیه و تحلیل ترافیک پرسرعت را با استفاده از سختافزار در دسترستر میسازد، بنابراین شما میتوانید ترافیک شرق-غرب و شمال-جنوب را در داخل مشاهده کنید. شبکه های فیزیکی، مجازی و مبتنی بر ابر. اگر میخواهید از این بهروزرسانیها نهایت استفاده را ببرید، الزامات حسگر بهروزرسانی شده را اینجا ببینید.
به روز رسانی صفحه دارایی InsightIDR: ما عناصر داده و تصاویر اضافی را به صفحه دارایی ها معرفی کرده ایم. این موضوع زمینه بیشتری را برای تحقیقات فراهم میکند و عیبیابی سریعتر را ممکن میسازد، زیرا داراییها و اطلاعات کاربر در یک مکان هستند. همه مشتریان به موارد زیر دسترسی دارند:
برای مشتریان دارای حسگرهای شبکه Insight و ENTA، این عناصر اضافی در دسترس هستند:
- برترین برنامه ها
- کشورها بر اساس مکان دارایی
- آدرس های IP مقصد برتر
با ما همراه باشید!
مثل همیشه، ما در طول سال به کار بر روی بهبودهای محصول و عرضه های هیجان انگیز ادامه می دهیم. به وبلاگ ما و یادداشتهای انتشار آن توجه داشته باشید، زیرا همچنان جدیدترینهای تشخیص و پاسخ را در Rapid7 برجسته میکنیم.
.