InsightIDR è la soluzione SIEM e XDR di Rapid7 che raccoglie e correla i dati provenienti da reti, endpoint, utenti e applicazioni per rilevare e rispondere alle minacce in modo rapido e centralizzato.
Utilizza l’analisi comportamentale (UEBA) e altre tecniche avanzate per fornire una visibilità completa sugli eventi di sicurezza e accelerare il processo di investigazione e risposta agli incidenti.
Protezione avanzata e visibilità estesa degli ambienti IT
InsightIDR è la piattaforma Rapid7 di nuova generazione per il rilevamento e la risposta agli incidenti, il monitoraggio dell’autenticazione e la visibilità degli endpoint. Progettata per intercettare accessi non autorizzati da minacce esterne o interne e attività sospette, la soluzione previene il sovraccarico derivante da migliaia di flussi di dati, rendendo immediato l’isolamento dei rischi reali.
Rilevamento e risposta sugli endpoint (EDR)
L’agente Insight acquisisce dati critici dagli endpoint, integra un contesto significativo negli avvisi e applica priorità ai rilevamenti di minacce con alta affidabilità. Questo approccio consente di rilevare precocemente gli attacchi e di offrire una copertura di cui i team di sicurezza possono fidarsi, riducendo sensibilmente i tempi di intervento.
Analisi del traffico di rete (NTA)
Oltre al contesto proveniente da endpoint e utenti, InsightIDR include una visione approfondita e curata del traffico di rete attraverso un IDS integrato. L’obiettivo è evidenziare le minacce reali, evitando di generare rumorosità superflua. In caso di indagini approfondite o analisi forense, è possibile accedere a metadati di rete aggiuntivi per comprendere l’intera portata dell’attività sospetta.
Analisi comportamentale di utenti ed entità (UEBA)
Gli aggressori più sofisticati mirano a infiltrarsi sfruttando credenziali rubate, movimento laterale e social engineering. InsightIDR, grazie alla User and Entity Behavior Analytics, traccia costantemente la normalità comportamentale degli utenti, rilevando immediatamente le discrepanze che tradiscono attività malevole, anche se mascherate da account aziendali. I dati correlati agli utenti forniscono inoltre un contesto prezioso per avvisi di minacce già in corso, velocizzando l’indagine e la risposta.
Integrazioni cloud e con terze parti
Supportata da un SIEM in cloud di classe enterprise, la piattaforma offre una libreria completa di integrazioni per tecnologie di terze parti. Questo garantisce il consolidamento dei dati endpoint, di rete e degli utenti, indipendentemente dall’infrastruttura (IaaS o servizi cloud). L’architettura SaaS nativa consente di individuare più facilmente attività anomale e minacce su ambienti dinamici, fornendo una copertura scalabile e rapida per supportare anche i contesti più esigenti.
SIEM cloud di ultima generazione
Alla base di InsightIDR si trova un SIEM nativamente in cloud, in grado di analizzare i dati più complessi, correlare milioni di eventi quotidiani e collegarli direttamente a utenti e risorse. L’infrastruttura di data lake e la raccolta flessibile dei log consentono ricerca e reporting intuitivi, riducendo drasticamente la necessità di query manuali o ricerche infinite. Questa visione olistica mette in luce i rischi più elevati e ne stabilisce le priorità di analisi.
Informazioni integrate sulle minacce
L’intera superficie d’attacco post-perimetrale è messa sotto controllo da informazioni approfondite, provenienti sia dalla comunità open source Rapid7, sia da un sistema proprietario di Threat Intelligence e Machine Learning. I rilevamenti sono costantemente aggiornati e ottimizzati dal Threat Intelligence and Detection Engineering Team di Rapid7, garantendo una protezione evoluta e automatica, senza interventi manuali sui sistemi di rilevamento.
Allineamento con il framework MITRE ATT&CK
Le tecniche e le tattiche di attacco mappate all’interno di InsightIDR corrispondono in modo dettagliato al framework MITRE ATT&CK, la conoscenza aperta e globale delle strategie d’attacco più avanzate. Tale allineamento permette di riconoscere immediatamente i punti critici della catena offensiva e di valutare la copertura ottenuta sui diversi scenari.
Tecnologia di inganno (Deception)
Oltre a endpoint e log, InsightIDR introduce una suite di deception agile, composta da honeypot, honey user, honey credentials e honey files, capace di individuare attività dannose fin dalle prime fasi di un attacco. Queste trappole, semplici da implementare, colmano i vuoti di visibilità che potrebbero essere sfruttati dagli aggressori.
Risposta agli incidenti e indagini
Ogni alert viene arricchito con dettagli su utenti e risorse, creando in automatico una timeline di investigazione che offre una panoramica chiara di eventuali correlazioni tra eventi. Questo approccio elimina la necessità di saltare tra strumenti o schede differenti, garantendo interventi e decisioni più rapidi nell’istante in cui si verifica un attacco.
Automazione della risposta
La scarsità di personale di sicurezza impone la massima efficienza operativa. InsightIDR comprende funzioni di automazione predefinite per contenere rapidamente le minacce sugli endpoint, sospendere account compromessi e interagire con i sistemi di ticketing. L’integrazione nativa con InsightConnect semplifica l’avvio di qualunque workflow o playbook di risposta. Infine, i suggerimenti operativi, incorporati nella libreria di rilevamenti, guidano i team con indicazioni pratiche sulle azioni da intraprendere.
Conclusione
InsightIDR è progettato per offrire copertura completa, rilevamenti ad alta attendibilità e indagini semplificate. Con un modello SaaS immediatamente disponibile, la piattaforma mappa le attività sospette agli utenti coinvolti, fornisce visibilità su endpoint, rete e cloud e orchestra automatismi di risposta per rimanere sempre un passo avanti alle minacce.
