AWSクラウド環境へのInsightIDRの利用

AWSのセキュリティのためのSIEM シンプルな統合ログ管理

InsightIDRは、重要なAWSサービスと連携し、次の詳細なログデータを簡単に収集できます。

- AWS CloudTrail： AWSマネジメントコンソール、AWS SDK、コマンドラインツールなどのサービスに対するアカウントの活動や管理アクションを監視および記録します。

- AWS GuardDuty： AWS内の活動のうち、クレデンシャルの間違った使用や権限の昇格など、悪意によるものである可能性があるものについて、情報を提供します。 Insight Agentは、ネイティブに連携するだけでなく、AWS EC2インスタンスにインストールできます。これによって、リアルタイムのEDRテレメトリを回収して、悪意のある活動やプロセスを検出したり、オンデマンドでフォレンジックデータを収集したり、プロセスの終了またはネットワークからのインスタンスの隔離をおこなって脅威を封じ込めたりすることができます。

InsightIDRでは、ネイティブAMIを使用して任意のAWS環境にハニーポットをインストールすることもできます。潜在的な攻撃者がこのハニーポットにアクセスしようとするたびに、InsightIDRのアラートがトリガーされます。また、InsightIDRは、AWS SQS連携を通じてあらゆるデータを収集できます。VPCフローログやRoute 53のDNSログなどを収集できます。

InsightIDRは、これらのサービスからのログデータを企業全体の数百に及ぶ別のソースからの情報と組み合わせて、データの正規化とエンリッチメントをおこない、セキュリティチームが検索、報告、分析に利用できるようにします。

異常な行動に対するアラート

InsightIDRのユーザー行動分析では、ユーザーによるベースライン活動を測定し、変則的な認証リクエストや通常とは異なるシングルサインオン（SSO）活動など、異常な行動を検出した場合にアラートを生成します。これにより、セキュリティチームは、盗まれたユーザークレデンシャルを利用する攻撃者を検出できます。Rapid7のSIEMソリューションは、また、コンピューティングリソースや侵害された管理クレデンシャルの悪用が疑われる行動に基づいて、アラートを生成します。次のような行動がこれに該当します。

- 新しいAWSリージョンでの活動

- 新しいAWSサービスの使用

- 新しいタイプの仮想マシンのプロビジョニング（仮想通貨のマイニング用に最適化されたサービスなど）

InsightIDRには組み込みの検出機能があります。また、AWS CloudTrailの活動に基づいて組織ごとにカスタムアラートを作成することもできます。たとえば、S3バケットのオブジェクトに対するアクセス、変更、削除の操作を指摘するカスタムアラートを作成できます。

GuardDutyのアラートをInsightIDRに送信できます。セキュリティチームは、InsightIDRのすべての機能を使用し、複数のプラットフォームからのデータを関連付け、ユーザーの行動をさかのぼって調べ、追加のログセットに切り替え、Rapid7 Insight Agentを使ってAWSリソースに対して直接クエリを実行することで、即座にフォローアップできます。

報告と法規制の遵守

InsightIDRは、監視、監査ログの記録、データ保持について、クラウドのレポートとコンプライアンスの要件をサポートします。監査担当者にログの格納場所を示し、適切なログ履歴があり、ログが適切に維持されていることを裏付け、適切なログのソースが提示されていることを実証できます。

InsightIDRの直感的なダッシュボードは、経営幹部と役員会のメンバーに、企業の脅威の状況を概要として示すことができます。増加している攻撃、ネットワークで最も攻撃されやすいアプリケーションと領域、解消された脅威などの情報を表示します。