O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

0

Compartilhar

クラウドSIEM製品 InsightIDRのご紹介

Rapid7社のInsightIDRの紹介資料

  • Seja a primeira pessoa a gostar disto

クラウドSIEM製品 InsightIDRのご紹介

  1. 1. クラウドSIEM製品 Insight IDRのご紹介 2021.2.26
  2. 2. 目次 2 1.最近のセキュリティにおける課題 2.SIEMとは 3.Rapid7 InsightIDR紹介 4.InsightIDRの機能 5.まとめ
  3. 3. 1.最近のセキュリティにおける課題 3
  4. 4. ・リモートワーク推進により、リモート勤務時のセキュリティ強化が必須 ・DX推進など様々な理由からオンプレミスとクラウドのハイブリッド環境、マルチクラウド環境、 SaaS利用の加速など、インフラの複雑化が加速し、統合的なセキュリティ監視基盤が必要 最近のセキュリティにおける課題 4 インシデント発生時に相関関係を迅速に把握できるようにするため に、ログは一つにまとめたい すぐにセキュリティ監視基盤を立ち上げたいが、閾値/アラート設 定、セキュリティ監視項目の精査など専門知識が必要/手間のかか る作業は極力したくない 各製品ごとにレポートを発行しており、報告のためにレポートを まとめなければいけない 求められていること・・・ お客様の声
  5. 5. 5 SIEM(Security Information and Event Management)でログを一括管理 インシデント発生時の追跡作業が実施しやすく、より迅速な対応が可能 視覚的にわかりやすく、本当に必要な情報のみ監視 Rapid7 InsightIDR はクラウド型SIEM 製品であり、 EDR機能 & NDA機能 もあわせもっている製品です。 ログの一括管理製品の活用
  6. 6. 2.SIEMとは 6
  7. 7. 7 ・様々なログを取り込み、ダッシュボードなどで一括管理できる製品のこと SIEM製品とは ・クラウドログ ・セキュリティ対策製品 ・社内利用製品 ・NWフローログ ・外部SIEM製品ログ クラウド FW IPS/IDS WAF サンドボックス 端末 DMZ Insight IDR NWフロー Internet
  8. 8. 8 ・ログの取り込み方法は主に2種類 ・ログ収集用サーバへログを送信 ・ログ収集対象へエージェントをインストールし、 エージェント経由でログを送信 SIEM製品とは コレクター アクティブ ディレクトリ セキュリティ 製品 ネットワーク パケット 各端末 エージェント Insight IDR
  9. 9. 9 SIEMの評価を行う基準 ・アラート発生時や日々の分析はしやすいか? ・ダッシュボードはカスタマイズ可能か? ・収集可能なログの種類は多いか? SIEM製品の評価材料 SIEMの機能として、過去と現在の特定 の時間帯のログ比較ができる クエリが保存できない カスタマイズできない ネットワークのフローログの監視も可能 ログ分析/調査画面が自動で立ち上がる プリセットのダッシュボードが多数ある エージェント導入によるEDR機能も合わせ持っている
  10. 10. 3.Rapid7 InsightIDRのご紹介 10
  11. 11. はじめに・・・Rapid7社のご紹介 社名: Rapid7 Inc. (NASDAQ: RPD) 設立: 2000年1月 本社: 米国ボストン 事業内容: 世界的に著名な情報セキュリティ研究者 による次世代セキュリティ製品開発、 フィルタやサービス提供 顧客数:9,000社+ 従業員数: 1,000人+ 売上: $339M 前年対比35%成長 日本法人: 中央区京橋 京橋エドグラン26階 【概要】 The Forrester Wave™: Vulnerability Risk Management, Q4 2019 11 脆弱性管理製品のInsight VMが代表 製品であり、Metasploitの開発元!
  12. 12. Rapid7社 製品 Insight Platform 12 • Rapid7社ではミドルウェアやWebAppの脆弱性管理製品などのセキュリティ製品を販売している • Insight IDRは「Insight Platform」というクラウド型のSIEM×EDR製品 当社取り扱いあり 当社取り扱いあり 当社取り扱いあり
  13. 13. ・Rapid7社のクラウド型SIEM×EDR製品 ・できること ・SIEM(Endpoint Detection and Response)機能: エンドポイント、サーバ、ネットワーク、セキュリティ機器のログを収集し、アラートを発報 ・EDR(Endpoint Detection and Response)機能: ユーザや攻撃者の行動分析から生成されたビルトインアラートが利用可能 ・NTA(Network Traffic Analysis)機能: ログ分析やエージェントを利用した資産管理が可能 Insight IDRとは 13
  14. 14. 構成イメージ 14 InsightIDR Webコンソール InsightPlatform 1.ログイン 2.コレクターインストール 5.ログ収集設定・ログ確認 コレクター 3.コレクターデプロイ 4.ログ出力先をコレクターIP に設定 エージェント エージェント アクティブ ディレクトリ セキュリティ 製品 ネットワーク パケット 各端末 クラウド ユーザー
  15. 15. Insight IDRで取得可能なログ ・クラウド製品ログ: AWS、Azure、GCPなど ・社内利用製品: Active Directory、DNS、VPN、Webプロキシ、社員用PCなど ・セキュリティ対策製品: ファイアウォール、UPS、IPS、IDS、脆弱性対策製品、標的型攻撃対策製品、EDRなど ・NWフローログ: ※監視対象のフローが流れているNW機器のミラーポートにコレクターをつなぎこみ、収集 ・外部SIEMログ: Splunk、Log Storage など ・エンドポイント端末: タブレットなど 誰がどこからアクセスしているか、 地図上に表示される 15
  16. 16. InsightIDRまとめ 16 クラウド型のSIEM製品 コレクター、もしくはエージェント経由でログを収集し分析可能 ネットワークトラフィックの監視も可能 EDR機能として、エージェント経由で端末監視が可能
  17. 17. 4.InsightIDRの機能 17
  18. 18. SIEM機能 ・収集したログやアラートが発生した際のログを分析することが可能 18 クエリの保存が可能 クエリ結果を ビジュアライズ ソースはカテゴリ ごとに選択可能
  19. 19. SIEM機能:クエリ生成と結果の確認 ・サンプルクエリを利用することやGUIで条件を選択していくことでもクエリの生成が可能 検索対象と実施する 処理(COUNT,SUM など)を指定可能 19 サンプルクエリ
  20. 20. SIEM機能:ダッシュボード機能 ・プリセットのダッシュボードを利用することや任意でパネルを追加することが可能 20 グラフセット から選択可能
  21. 21. EDR機能 ・アラートタイプ ・カスタムアラート 特定の文字列を含むログが検出された場合、アラートを発報することが可能 ・ビルトインアラート ・User Behavior Analytics:ユーザの行動に注目したアラート ・Attacker Behavior Analytics:外部への不正アクセスなど攻撃者が実施していると思われるアラート Notable Behaviors Alert Disabled アラートとしてはカウントされないが、 調査画面は自動で生成される アラートが発報される アラートは無効 21
  22. 22. EDR機能:User Behavior Analytics ・ユーザの行動を分析し、Active DirectoryやAWS CloudTrailなどを通じて、ログイン試行回数が 多い場合や、横方向の移動など、ユーザの怪しい動きからなりすましなどを検出する 22
  23. 23. EDR機能:Attacker Behavior Analytics ・攻撃者の行動を分析し生成されたビルトインアラートが利用可能 ・悪意あるファイルのダウンロードやサイトへのアクセスなど、攻撃される可能性がある場合検出 23
  24. 24. 調査機能 ・エンドポイントから収集したログから、脅威を発見し、アラートを発報 ・アラート検出時には、自動で調査用のアラート詳細画面が生成される 担当者を割り当てること や調査メモを残すことが 可能 24
  25. 25. 資産管理機能 ・Insight Agentやコレクターからスキャンし発見した端末が確認可能 Insight Platform画面 25
  26. 26. 資産管理機能:ユーザの確認 ・Active Directoryなどから収集したデータから各端末の情報が確認可能 26 アカウントに紐づく アラートが表示 端末のアカウント情報 アカウントの ログイン履歴
  27. 27. 資産管理機能:端末の確認 ・ユーザの利用している端末で実行しているプロセスや、他端末へのログイン履歴をGUIで確認可能 ・重要な端末やプロセスにはフラグを付け、実行時にアラートを上げることが可能 27 他端末への ログイン履歴 端末で実行して いるプロセス
  28. 28. その他の機能 ・処理の自動化機能 ・Insight Connect(Rapid7社のSOAR製品)のテンプレートを利用し、処理を自動化することが可能 28
  29. 29. 5.まとめ 29
  30. 30. InsightIDRの特徴まとめ • 複数製品のログを一括管理可能な、クラウド型SIEM製品 • SIEM機能だけでなく、EDRやネットワークフロー監視も可能な製品 • SIEM機能 • サンプルクエリなどの活用によるログ分析 • ダッシュボードでの定期監視 • EDR機能 • ユーザの行動分析、攻撃者の攻撃分析をもとに 作成されたビルトインのアラート • NTA機能 • 実行中のプロセスやログイン履歴の確認など ユーザや端末を掘り下げて確認することが可能 30 Insight IDR 豊富なログの一括管理により、 インシデント対応が可能 SIEMだけでなくEDR機能なども利用でき ることで、追加のセキュリティ対策コスト、 運用コストを削減
  31. 31. Appendix 31
  32. 32. 取得可能なログ ・取得可能なログの詳細 [参考リンク] Rapid7社 公式 InsightIDR ヘルプページ - InsightIDR Event Sources https://docs.rapid7.com/insightidr/insightidr-event-sources/ ・ネットワークフローログの収集 [参考リンク] Rapid7社 公式 InsightIDR ヘルプページ - Network Traffic Analysis https://docs.rapid7.com/insightidr/network-traffic-analysis/#network-traffic- analysis ・Insight Agentのインストール [参考リンク] Rapid7社 公式 InsightAgent ヘルプページ - Requirements 32
  33. 33. システム要件 ・コレクター [参考リンク] Rapid7社 公式 InsightIDR ヘルプページ - Collector Requirements https://docs.rapid7.com/insightidr/collector-requirements/#collector-requirements ・Insight Agent [参考リンク] Rapid7社 公式 InsightAgent ヘルプページ – Networking https://docs.rapid7.com/insight-agent/networking ・Network Sensor [参考リンク] Rapid7社 公式 Insight Network Sensor ヘルプページ – Insight Network Sensor Requirements 33

Rapid7社のInsightIDRの紹介資料

Vistos

Vistos totais

366

No Slideshare

0

De incorporações

0

Número de incorporações

58

Ações

Baixados

0

Compartilhados

0

Comentários

0

Curtir

0

×