InsightIDR快速入门指南
InsightIDR是一个SIEM安全工具,它从Collector和基本事件源整合您的环境,并将它们归为单个用户和资产。您可以从单个位置查看数据,并确定差距、重叠和弱点。您还可以设置入侵者陷阱、网络规则、警报和遵从性策略以满足行业标准。最终,这些操作增强了安全团队防止攻击的能力。
支持的浏览器
Rapid7支持以下浏览器版本:—Mozilla Firefox(最新稳定版本)—谷歌Chrome(最新稳定版本)
开始检查表
为了最大限度地利用你的时间,我们为你制作了一张重要能力的清单供你探索。点击下面的链接一步一步的指导,以帮助你起来和运行。
准备部署环境
Rapid7建议的第一件事是对你的社交网络进行盘点。当收集和分析尽可能多的数据时,InsightIDR是最有效的。因此,在部署或配置事件源之前,请仔细收集相关信息。
步骤1。确定基础事件源
确定能为InsightIDR分析提供有价值数据的网络和安全工具和服务。
为了理解网络中的关系,InsightIDR将网络中的每个活动IP地址映射到资产和负责用户。这个过程称为用户属性(User Attribution),将事件从基本事件源属性到相关方。
基本的事件来源是:
- 轻量级目录访问协议
- 广告(Active Directory)
- 动态主机配置协议
- 必威体育app登录
看到基本事件源为更多的信息。
步骤2。计划收集器放置
根据网络拓扑和步骤1中确定的关键事件源,为采集器识别一个或多个合适的主机。
标识事件源数据来源的所有服务器。许多网络在数据中心或公司办公室中巩固安全和网络管理工具和服务。这个中心位置是在专用主机上部署Collector的理想位置。
看到收藏家的需求为更多的信息。
步骤3。提供和配置采集器
在您验证您的主机满足系统要求之后,添加出站允许列表规则并禁用本地防火墙,以便Collector可以侦听普通和不常见的端口。
接下来,记录配置每个事件源和基础事件源所需的系统、服务帐户、配置和管理员。
部署一个收藏家
当您的主机准备好后,您必须下载、安装并激活Collector。
- 您可以在InsightIDR的“数据采集”页面下载Collector文件。
- 当您运行可执行文件时,请确保复制激活密钥。
- 在InsightIDR接口中激活Collector。
看到采集器安装部署为更多的信息。
建立基础事件源
事件源是生成日志事件的应用程序、设备、服务器、服务或其他IT资产。Collector捕获生成的数据,然后压缩、加密并将其推送到Insight平台。dota2必威联赛Insidota2必威联赛ght平台将用于日志搜索的数据规范化、属性化、分析和呈现。
看到InsightIDR事件源查看可在InsightIDR中解析的事件源的完整列表。
如何配置事件源
配置事件源有两种方式:自动配置和手动配置。不管怎样,一定要准备好事件源的凭证在你试图连接它之前。
“自动配置”使用域管理员凭据扫描环境中的服务器主机并发现所有可用的事件源。看到汽车配置事件源获取更多信息。
LDAP
通过LDAP事件源,InsightIDR可以查询LDAP树来识别您的用户、帐户和管理员。看到LDAP为更多的信息。
活动目录
Active Directory事件源为域用户提供身份验证和管理事件。看到活动目录为更多的信息。
DHCP
DHCP事件源提供IP租期信息,将日志数据中的IP地址与事件发生时的主机相关联。看到DHCP为更多的信息。
必威体育app登录
Insi必威体育app登录ght Agent从服务器、工作站、笔记本电脑、台式机和VDI基础设施收集端点日志,以关联数据。从资产中收集数据提供了对本地帐户活动的可见性,以及对端点上运行的流程的分析。它还使InsightIDR能够在日志事件更改时发出警报。
看到了解代理必威体育app登录有关设置此功能的详细信息的帮助页面。
回顾你的数据
在设置了基本事件源之后,InsightIDR将立即开始对数据进行规范化和分析。您将看到各种页面、仪表板、小部件和关键性能指标(kpi)自动出现在工具中。
查看InsightIDR正在编目的数据,以确认它是正确的。
原始数据
以日志的形式查看所有可用的原始数据。为更有针对性、更细粒度的信息编写查询。看到日志收集与存储为更多的信息。
数据解析和规范化
InsightIDR解析它能够自动解析的任何日志,然后将日志规范化为JSON。除了关于资产和用户的原始数据,您还可以查询这些数据以获得更细粒度的信息。
用户与资产页面
InsightIDR通过为环境中观察到的每个用户、资产和流程构建专用页面,自动识别信息。看到您的域上的用户和帐户为更多的信息。
管理员账户
查看有关管理员用户的所有信息、管理员所属的组、是否为本地管理员等等。
Non-Expiring用户帐户
此页面将显示拥有未过期密码帐户的所有用户的列表。未过期的用户帐户有助于攻击者在被攻击的网络中保持存在,从而使“低速度”攻击不被注意。Rapid7建议为所有用户设置密码过期策略作为最佳实践。
看到Non-Expiring账户为更多的信息。
服务帐户
InsightIDR通过用非人类的名字识别非到期账户,自动为服务账户添加标签。Rapid7建议检查这些帐户,特别是任何活跃的服务帐户。
学习如何建立一个服务帐户收集有关日志事件和端点扫描的信息。
否则,看到非到期和服务帐户了解InsightIDR如何识别服务帐户。
准确标记用户和服务帐户
如果InsightIDR错误地将员工标记为服务帐户(反之亦然),请确保正确地标记他们!服务帐户和域帐户的行为算法和警报是非常不同的。看到用户和账户为更多的信息。
管理警报
InsightIDR有一个内置检测列表。这些检测被预先分类为两个类别之一,显著行为和警报。
显著行为通常是关联用户的单个异常事件。警报通常是与攻击者行为相关联的数据或单个事件中的模式。
看到警报有关如何管理、更改和禁用警报的信息。
其他配置
虽然初始配置是基本配置,但您应该设置额外的配置,以帮助解决方案理解您的数据。这些配置在用户帐户设置中。看到网络规则,受限制的资产,观察名单中用户为更多的信息。
提高效率
连接额外的增值事件源,部署欺骗技术,并启用基于威胁情报的警报。
在基础事件源的支持下,InsightIDR的用户属性服务可以从防火墙、VPN和/或DNS事件源对用户或资产的日志事件进行属性设置。这些事件源提供远程进入网络的上下文、连接信息、云服务利用率和基于威胁情报的警报。
防火墙的数据
通过添加防火墙数据,InsightIDR可以跟踪云服务利用率和恶意域的浏览情况。注意,InsightIDR不只是收集配置和更改日志,而是查找连接事件,将事件属性赋给生成流量的用户和资产。
了解如何配置防火墙事件源。
VPN的数据
VPN日志可以查看用户的远程网络入口活动。了解如何配置VPN事件源。
DNS数据
DNS日志比防火墙日志提供更多关于web流量的信息。DNS还提供了更大的目标url可见性,出现在帐户访问可疑链接事件。
了解如何配置DNS事件源。
限制资产和网络政策
定义您的环境中哪些资产是最重要的,这样您就可以看到哪些用户访问这些机器。受限制的资产将为每个新的身份验证事件通知您,允许您限制对系统的访问。你也可以这样定义网络策略,它使用Active Directory组成员身份来确定哪些用户应该或不应该访问某些网络区域。
这两个警报都有助于识别对关键基础设施的可疑和潜在风险访问。
威胁情报
除了基于用户行为和端点的检测外,InsightIDR还提供与威胁情报相关的各种警报。当您订阅各种威胁时,InsightIDR会利用新的警报。每个威胁提要都包含据称具有恶意性质的指示器,如IP地址、域、哈希值或url。每当这些指示器中的一个与您的网络交互或出现时,InsightIDR就会发出警报。
云服务的数据
InsightIDR通过访问api、提取事件和将活动与域用户关联,与云服务集成。由于云服务提供数据,InsightIDR将从您的网络上或外收集并显示云服务访问。
了解如何配置云服务.
入侵者的陷阱
一旦一切就绪,配置入侵者陷阱,或虚假资产、用户和文件来触发警报。如果入侵者试图访问或使用入侵者陷阱,InsightIDR将触发各种警报,通知您攻击者的行为。因为这些实体没有真正的业务用途,所以不要允许用户访问它们。
学习如何部署欺骗技术在您的环境中。
自动化您的安全任务
自动化允许您减少必须执行的手动安全任务的数量。为了帮助您高效地简化安全流程,开始自动化.