SIEM für AWS Security
Amazon Web Services (AWS) ist der bevorzugte Cloud-Anbieter von Rapid7 und bietet eine funktionsreiche Umgebung für das Hosting und die Verwaltung von Cloud-basierten Anwendungen in einer flexiblen und stark skalierbaren Infrastruktur. AWS-Sicherheit bleibt jedoch weiterhin eine Herausforderung. Amazon Security Hub und Amazon GuardDuty ermöglichen einen gewissen Einblick in Protokolldaten und Sicherheitsereignisse in AWS-Umgebungen, stellen aber keine erweiterten Analysen und anderen Funktionen zur Erkennung von und Reaktion auf Bedrohungen bereit.
Rapid7 InsightIDR ist eine schnell einsatzbereite und Cloud-basierte SIEM-Lösung für die schnelle Erkennung von komplexen Angriffen. Sie aggregiert Daten aus AWS-Quellen wie CloudTrail und GuardDuty zusammen mit Informationen aus lokalen Netzwerken, Endpunkten und anderen Cloud-Plattformen. Unter Nutzung der User Behavior Analytics (UBA), von branchenführender Bedrohungsintelligenz (Threat Intelligence) und automatisierten Workflows können Sicherheitsteams Bedrohungen in AWS-Umgebungen und in der gesamten IT-Umgebung der Organisation erkennen und untersuchen.
Einfaches zentrales Log-Management
InsightIDR ist in kritischen AWS-Diensten integriert, was die Erfassung von detaillierten Protokolldaten erleichtert:
- AWS CloudTrail überwacht und protokolliert Kontoaktivitäten und administrative Aktionen bei Diensten wie der AWS Management Console, AWS SDKs und Befehlszeilenprogrammen.
- AWS GuardDuty bietet Einblicke in potenziell bösartige Aktivitäten innerhalb von AWS, wie dem Missbrauch von Zugangsdaten und der Rechteausweitung.
Neben den nativen Integrationen kann der Insight-Agent auch auf AWS EC2-Instanzen installiert werden, was den Abruf von Echtzeit-EDR-Daten zur Erkennung von bösartigen Aktivitäten und Prozessen, zur Sammlung forensischer Daten auf Abruf und zur Eindämmung von Bedrohungen durch die Beendigung von Prozessen oder die Isolierung der Instanz im Netzwerk ermöglicht.
InsightIDR erlaubt auch die Installation von Honeypots in jeder AWS-Umgebung über ein natives AMI. In InsightIDR wird ein Alarm ausgelöst, wenn ein potenzieller Angreifer versucht, auf diese Honeypots zuzugreifen. Darüber hinaus kann InsightIDR über seine AWS SQS-Integration beliebige Daten sammeln.
InsightIDR kombiniert Protokolldaten aus diesen Diensten mit Informationen aus Hunderten von anderen Quellen im gesamten Unternehmen, normalisiert und reichert die Daten an und macht sie für die Suche, das Reporting und die Analyse durch die Sicherheitsteams verfügbar.
Ausgabe von Warnmeldungen bei anomalen Verhaltensweisen
InsightIDRs User Behavior Analytics (Benutzerverhaltensanalyse) misst Baseline-Aktivitäten von Benutzern und generiert Warnungen, wenn anomale Aktionen wie untypische Authentifizierungsanfragen und ungewöhnliche Single Sign-on (SSO)-Aktivitäten erkannt werden. So können Sicherheitsteams Bedrohungsakteure erkennen, die gestohlene Zugangsdaten von Benutzern verwenden. Die SIEM-Lösung von Rapid7 generiert auch Warnmeldungen bei Verhaltensweisen, die eine verdächtige Nutzung von Rechnerressourcen und kompromittierte administrative Zugangsdaten nahelegen. Dazu gehören:
- Aktivitäten in neuen AWS-Regionen
- Nutzung neuer AWS-Dienste
- Bereitstellung neuer Arten von virtuellen Maschinen (z. B. ein für das Schürfen von Kryptowährungen optimierter Dienst)
InsightIDR bietet abgeschlossene Erkennungen und gibt Unternehmen die Möglichkeit, benutzerdefinierte Warnmeldungen auf der Grundlage von AWS CloudTrail-Aktivitäten zu erstellen. So könnten beispielweise benutzerdefinierte Warnmeldungen für Aktionen erstellt werden, die den Zugriff, die Änderung und das Entfernen von Objekten in S3-Buckets zum Ziel haben.
GuardDuty-Warnmeldungen können an InsightIDR gesendet werden, damit Sicherheitsteams sofort nachfassen und die volle Leistungsfähigkeit von InsightIDR nutzen können, um Daten von mehreren Plattformen zu korrelieren, das Benutzerverhalten nachzuvollziehen, auf zusätzliche Protokollsätze zuzugreifen und AWS-Ressourcen direkt mit dem Rapid7 Insight-Agent abzufragen.
Reporting und Compliance-Vorschriften
InsightIDR unterstützt Cloud-Reporting und Compliance-Anforderungen zur Überwachung, zum Audit-Logging und zur Datenaufbewahrung. Es kann Auditoren zeigen, wo die Logs gespeichert sind, den passenden Protokollverlauf bestätigen und nachweisen, dass die richtigen Protokollquellen abgebildet sind.
InsightIDRs intuitives Dashboard liefert Führungskräften exklusive Informationen über die Bedrohungslage des Unternehmens wie z. B. Angriffstrends, Anwendungen und Bereiche im Netzwerk, die am stärksten gefährdet sind, sowie auch Bedrohungen, die behoben wurden.
Entwickelt für dynamische Umgebungen
Als natives, Cloud-basiertes Tool kann InsightIDR schnell skaliert werden, um erhöhte Aktivitäten und neue Anwendungen auf der AWS-Plattform zu unterstützen.
InsightIDR wurde entwickelt, um eine schnelle und nahtlose Integration mit neuen Datenquellen zu ermöglichen. Das versetzt Unternehmen in die Lage, Daten von neuen AWS-Diensten unmittelbar nach ihrer Einführung zu sammeln und zu analysieren.