最后更新于2023年12月21日星期四18:47:39 GMT
在整个2023年,Rapid7在Insight平台上进行了投资,以进一步实现我们为安全团队提供工具以主动预测即将发生的风险的使命, 尽早防止违规行为, 对威胁做出更快的反应. 在这个博客中,你会看到我们去年发布的一些重要版本, 所有这些都是专门为你的团队打造的, 统一的安全操作方法和攻击面指挥.
主动保护您的环境
端点保护与下一代病毒管理威胁完成
提供针对已知和未知威胁的保护, 我们发布了多层预防 新一代病毒管理威胁完成. 通过Insight Agent,您可以立即:
- 在杀伤链的早期阻断已知和未知的威胁
- 阻止绕过现有安全控制的恶意软件
- 利用现有的Insight Agent最大化您的安全堆栈和投资回报率
- 利用我们耐多药团队的专业知识对这些警报进行分类和调查
新功能可帮助您在云和内部部署环境中确定风险优先级,并有效地沟通风险状况
随着攻击面扩大, 我们知道,了解混合环境中的漏洞并与执行人员和补救涉众进行沟通对您来说至关重要. 今年,我们在这一领域进行了一系列投资,以帮助客户更好地可视化, 优先考虑, 沟通风险.
- 执行风险视图, 可作为云风险完成的一部分, 为安全主管提供跟踪跨云和本地资产的总风险所需的可见性和上下文,以更好地了解组织风险状态和趋势.
- 积极的风险, 我们新的漏洞风险评分方法, 帮助安全团队优先考虑被积极利用或最有可能在野外被利用的漏洞. 我们的方法丰富了最新版本的通用漏洞评分系统(CVSS)与多个威胁情报源, 包括来自专利的情报 Rapid7实验室 研究. 积极的风险规范了InsightVM内云和本地环境中的风险评分, InsightCloudSec, 和执行风险视图.
- InsightCloudSec的新风险评分 分层的上下文 使您更容易了解云环境中风险最大的资源. 很像分层上下文, 新的风险评分结合了各种风险信号(包括主动风险),并为遭受有毒组合或多个风险向量的资源分配更高的风险评分,这些风险向量增加了妥协的可能性或影响.
- InsightVM中的两个新仪表板卡 帮助安全团队跨职能沟通风险状态,并提供资产和漏洞优先级的上下文:
- 根据活动风险评分严重性发现的漏洞 -理想的执行报告, 此仪表板卡指示了活动风险严重性级别上的漏洞总数以及受影响的资产和实例的数量.
- 通过活动风险评分严重性和发布年龄的漏洞发现 -非常适合与修复利益相关者共享,以帮助确定下一个补丁周期的漏洞优先级, 或者识别可能被遗漏的关键漏洞.
Rapid7实验室对关键漏洞的覆盖和专家分析
Rapid7实验室 提供易于使用的威胁情报和指导, 由我们行业领先的攻击专家策划, 致安全团队.
紧急威胁响应(ETR)计划, Rapid7实验室的一部分, 为团队提供加速的可见性, 报警, 以及对高优先级威胁的指导. 在过去的一年里,我们在24小时内为30多个紧急威胁提供了报道和专家分析, 包括我们的安全研究团队所在的Progress Software的MOVEit Transfer解决方案 是最早发现剥削的公司之一-卖方发出公众谘询前4天. 在我们的博客上关注未来的ETRs 在这里.
从端点到云,在任何地方检测威胁并确定优先级
在insighttidr调查中增强了警报细节
攻击者行为分析(ABA)警报的更新证据面板为您提供警报的描述和分类建议, 生成警报和相关数据的规则逻辑, 以及一个流程树(用于耐多药客户),以显示有关之前发生的事情的详细信息, 在, 在警报生成之后.
人工智能驱动的异常活动检测与云异常检测
云异常检测提供人工智能驱动的异常活动检测发生在您的云环境, 使用自动优先级来评估活动是恶意的可能性. 使用云异常检测,您的团队将受益于:
- 整合了来自csp原生检测引擎和Rapid7人工智能驱动的专有检测的威胁检测.
- 自动优先级,专注于最有可能是恶意的活动.
- 能够使用您的SOC团队目前使用的相同流程和工具检测和响应云威胁,并且可以轻松地将基于api的功能导入到XDR/SIEM工具中,以进行威胁调查并确定修复工作的优先级.
通过身份分析和攻击路径分析,详细了解云环境中的风险
我们一直在努力改进各种方式,以提供您当前云风险状况的实时和全面视图. 今年,我们在这一领域取得了一些重大进展,主要有两个令人兴奋的新功能:
- 身份分析 提供跨云环境的身份相关风险的统一视图, 允许您大规模地实现最小特权访问(LPA). 通过利用机器学习(ML), 身份分析构建访问模式和权限使用的基线, 然后将基线与分配的权限和特权相关联. 这使您的团队能够识别过度许可的角色或未使用的访问权限,以便您可以根据LPA自动调整权限大小.
- 攻击路径分析 使您能够分析资源之间的关系,并快速识别恶意行为者可能在云环境中导航的潜在途径,以利用易受攻击的资源和/或访问敏感信息. 这种可视化帮助团队在整个组织中沟通风险, 特别是对于非技术涉众来说,他们可能很难理解为什么受损的资源会给业务带来潜在的更大风险.
更灵活的警报与自定义检测规则
在检测方面,每个环境、行业和组织都有不同的需求. 在insighttidr中使用自定义检测规则, 您可以检测特定于您需求的威胁,同时利用开箱即用检测规则提供的相同功能, 包括:
- 设置规则操作和规则优先级的能力,以选择当规则检测到可疑活动时如何发出警报.
- 能够为特定键值对的规则添加例外.
insighttidr中不断增长的可操作检测库
2023年,我们增加了3000多条新的检测规则. 在产品中看到它们或访问 检测库 有关描述和建议.
基于agent的策略在InsightVM中支持自定义策略评估
CIS (Center for Internet Security)指南和STIG (Security Technical Implementation Guides)指南是业界广泛使用的配置评估基准. 然而,基准或指南的现状可能无法满足每个业务的独特需求.
基于代理的策略评估现在支持自定义策略. 全局管理员可以自定义内置策略, 上传的政策, 或者为基于代理的评估启用现有自定义策略的副本. 了解更多 在这里.
自信地调查和回应
通过扩展针对托管检测和响应客户的主动响应功能,更快地遏制和修复威胁
攻击者行动迅速,您等待采取行动的每一秒都可能对您的环境造成不利影响. 输入自动化-主动响应使Rapid7 SOC分析师能够立即隔离客户环境中的资产和用户 响应行为 由Rapid7的SOAR解决方案InsightConnect提供支持.
主动反应公司通过我们的洞察特工将你隔离, 以及各种第三方提供商,包括Crowdstrike和SentinelOne. 并与耐多药分析师的行动直接记录在insighttidr, 你有更广阔的空间, 协作检测和响应速度比以往任何时候都快. 点击这里阅读Active 响应可以为您的组织做些什么,以及在最近的耐多药调查中它是如何阻止恶意软件的.
伶盗龙与insighttidr集成,以扩大DFIR覆盖范围
攻击面在不断扩大, 你对潜在威胁的可视性也应该如此. 今年我们整合了迅猛龙, Rapid7的开源DFIR框架, 与我们的Insight Platform合作,通过Insight Agent将日常威胁监控和狩猎所需的数据带入Insight tidr进行调查.
这种集成为您带来更快的识别和补救, 始终监控整个端点舰队的威胁活动, 扩大了威胁检测能力. 在这里阅读有关此集成解锁的更多信息.
请继续关注!
一如既往地, 我们将继续致力于令人兴奋的产品增强和发布. 请关注我们的博客 发布说明 我们将继续关注Rapid7在产品和服务方面的最新投资. 2024年见!
