必威体育app登录洞察代理与InsightIDR

InsightIDR提供强大的端点检测和响应(EDR)、网络流量分析和内置行为分析,使您无需任何集成或额外配置就能检测和调查端点上的威胁。Insi必威体育app登录ght Agent对于InsightIDR提供实时端点检测和响应的能力至关重要,这对于识别攻击的早期迹象是必要的。这是一款轻量级软件,可以安装在Cloud或本地环境中支持的资产上。

部署Insig必威体育app登录ht Agents以访问InsightIDR的开箱即用检测

当客户购买管理检测和响应(MDR)时,我们的SOC分析师团队需要至少80%的支持资产来利用Insight Agent。必威体育app登录对于我们的InsightIDR客户,Rapid7强烈建议部署Insight Agent来访问实时端点扫描和开箱即用的威胁检测必威体育app登录.通过在支持的资产上尽可能多地安装和部署Insight Agent,获得完整的安全运营中心(SOC)可见性。必威体育app登录

在InsightIDR中使用Insight 必威体育app登录Agent的好处

Insi必威体育app登录ght Agent为InsightIDR用户提供了以下好处:

  • 在攻击链的早期检测根据国际数据公司(IDC)的行业分析师的一项研究,70%的成功入侵都是从终端开始的。部署Insight Agen必威体育app登录t将使您能够看到所支持的资产,以便进行一致的监视,包括身份验证、运行的进程和特定的帐户信息。
  • 解锁特定端点的检测规则: Rapid7已经为依赖于启动过程数据的攻击者分析创建了数百条检测规则。部署Insight A必威体育app登录gent以访问这些检测规则并增强环境安全性。
  • 查看从远程位置运行的资产:你的组织中可能有资产长期在公司网络之外运行,并定期连接到不同地点的互联网。使用Insigh必威体育app登录t Agent获得这些远程资产的完整可见性。
  • 包含被泄露的用户和资产: Insi必威体育app登录ght Agent允许InsightIDR客户通过自动包含显示可疑活动的受损用户和资产来快速响应端点威胁。
  • 利用端点欺骗技术:洞察代理允必威体育app登录许您用可用的蜂蜜凭证诱饵黑客支持的资产。
  • 文件完整性监控(FIM):使用Insight A必威体育app登录gent,您可以对关键文件和文件夹的更改进行审计,以达到遵从性目的。当启用FIM时,InsightIDR与Insight Agent通信,直接将用户属性为文件修改活动。必威体育app登录
  • 轻松下载:虽然许多代理以占用大量硬盘驱动器空间和消耗过多的CPU而闻名,但Insight Agent只需简单的安装,对您的资产的占用就很小。必威体育app登录

监控事件代码

默认情况下,Endpoint Monitor和Insight Agent监视以下事必威体育app登录件代码。列出的每个事件代码都有助于InsightIDR中的内置警报,但可能不会出现在日志搜索

日志的起源

代码

系统

7045

安全

1102 4624 4625 4648 4720

在域控制器上运行时的安全日志*

1102, 4624, 4625, 4648, 4704, 4720, 4722, 4724, 4725, 4728, 4732, 4738, 4740, 4741, 4756, 4767, 4768, 4769

视窗防护杀毒

1001, 1002, 1003, 1004, 1005, 1006, 1007, 1008, 1009, 1010, 1011, 1012, 1013, 1014, 1015, 1116, 1117, 1118, 1119, 1120, 1150, 1151, 2000, 2001, 2002, 2003, 2004, 2005, 2006, 2007, 2010, 2011, 2012, 2013, 2020, 2021, 2030, 2031, 2040, 2041, 2042, 3002, 3007, 5000, 5001, 5004, 5007, 5008, 5009, 5010, 5011, 5012, 5100, 5101

必须将Insight Agent设必威体育app登录置为从域控制器收集安全事件日志

要设置Insight 必威体育app登录Agent从域控制器收集安全事件日志,请导航到设置>必威体育app登录,选择域控制器事件选项卡,并将切换键切换为是的.一旦您将开关切换为ON,如果Insight Agent安装在域控制器上,则将收集额外的必威体育app登录安全事件。这是为每个域控制器使用Active Directory事件源的可选选择。

防止与Active Directory重复

如果需要收集域控制器安全日志事件,可以使用Active Directory事件源或Insight Agent。必威体育app登录使用这两种方法可能会导致收集重复的事件。

用户行为警报贡献

洞察代理和端点监控器提供的数据有助于产生以下警报:必威体育app登录

  • Brute force -资产
  • 蛮力-本地帐户
  • 检测规避-删除事件日志
  • 检测规避-本地事件日志删除
  • 端点威胁情报匹配
  • 利用减轻
  • 资产上的标记散列
  • 资产上标记的流程
  • 蜂蜜文件访问
  • Kerberos特权提升利用
  • 横向移动-本地管理员模仿
  • 横向移动-本地证书
  • 本地蜂蜜证书特权升级尝试
  • 资产上的恶意哈希
  • 创建新的本地用户帐号
  • 协议中毒检测
  • 检测到远程文件执行

在Insight Agent帮助页面必威体育app登录了解更多信息

必威体育app登录洞察代理是部署过程的重要组成部分。出于这个原因,Rapid7不断开发和维护一个专门的文档集,用于所有Insight Agent相关资源。必威体育app登录检查58必威 页面阅读更多关于以下主题:

  • 概述信息,包括Insight Agent收集的数据类型以及Agent软件如何更新。必威体育app登录
  • 全面的需求,包括支持的操作系统、网络配置和应用程序设置。
  • 完成两种Insight Agent安装程序类型的下载和安装说明必威体育app登录
  • 大规模部署指南。
  • 高级配置选项。
  • 常见故障的解决方案。