MDR条款
本页面概述了与托管检测和响应(MDR)相关的重要术语。
耐多药术语
以下是耐多药相关术语表。
术语 |
描述 |
|---|---|
警报 |
InsightIDR中由一个或多个相关事件源触发的可疑事件。 |
警戒临界 |
安全运营中心(SOC)调查和验证后,将确定警报问题的紧迫性。应立即处理高危险性警报。 |
警报调优 |
MDR SOC团队利用从第三方来源收集的威胁情报,并通过与MDR和事件响应客户合作,加强我们对MDR客户的检测。 |
进攻战役 |
也被称为网络攻击,是任何试图暴露、改变、禁用、破坏、窃取或获得未经授权访问或未经授权使用资产的行为。攻击活动可能仅限于单个资产或单个企业,也可能跨许多资产和企业进行协调。 |
攻击者行为分析 |
攻击者行为分析(ABA)是由攻击者常用的策略、技术和过程生成的警报。 |
攻击故事板 |
MDR提供了包含事件和发现的完整时间轴的调查结果报告,这样客户就可以了解攻击过程的每个步骤。 |
折衷评估 |
部署后,Rapid7 MDR将确保客户网络中没有恶意活动,也没有先前泄露的证据。本报告包含任何已检测到的主动或历史性妥协、未来违规的潜在途径以及优先的补救和缓解建议。 |
控制操作 |
客户可通过InsightIDR(或通过发现报告中的链接找到)执行的操作,以遏制或干扰当前攻击者。例如锁定资产和禁用用户。 |
客户顾问 |
客户顾问(“CA”)是Rapid7 MDR服务的每位客户的主要联系人。此命名资源作为战略安全合作伙伴与客户团队合作,从最初的技术部署到事件补救和持续的安全咨询,指导每个客户组织的安全成熟度。 |
检测方法 |
Rapid7 MDR能够在客户环境中发现攻击者的方式。 |
端点检测和响应(EDR) |
MDR使用端点检测和响应(EDR)工具来增强事件调查期间收集的日志和信息,以便更清楚地了解攻击。 |
事件源 |
事件源是InsightIDR和MDR团队用于生成检测的信息日志源。 |
法医学分析 |
MDR SOC分析师所做的深入调查工作 |
全套服务 |
当Insight Agent部署到超过80%的范围内端点时,客户将进入全面服务。这包括必威体育app登录威胁搜寻和妥协评估。 |
调查 |
MDR SOC Pod根据检测产生的警报进行手动分诊。 |
许可证 |
为MDR服务提供动力的软件是以订阅方式购买的,并且是集中托管的,因此客户必须通过MDR购买对Insight Agent和InsightIDR软件的访问权,以便服务正常运行。必威体育app登录 |
有限服务 |
如果客户无法在部署天数结束前部署到80%的端点,则MDR SOC团队将为客户提供有限的服务。在此阶段,MDR SOC将监控来自当前连接的事件源和部署的代理的警报;但是,客户有必要将代理部署到其范围内环境的其余部分。受限服务的范围仅限于具有Insight Agent的端点。当Insight Agent部署到80%的范围内环境并将客户移至全面服务时,有限服务完成。必威体育app登录 |
日志源 |
用于关联InsightIDR内部的操作和警报的信息源。这些与事件源不同。 |
逻辑上分离的环境 |
组织的IT基础架构可能有一个或多个逻辑上分离的环境。例如,一个组织可能有一个独立于其公司IT最终用户环境的面向Internet的生产数据中心。或者,他们可能有多个子公司,拥有逻辑上独立的IT基础架构。在这些情况下,Rapid7建议组织将我们的MDR服务部署到其所有环境中,原因有两个。第一个原因是,攻击者经常在组织内从一个环境横向移动到另一个环境,如果没有完全部署到所有环境,我们可能无法检测或响应攻击的整个范围。第二个原因是,如果来自“范围外”环境的流量/活动由“范围内环境”记录,这将导致客户未获得许可的MDR SOC的额外检测和响应工作。然而,RAPID7 MDR将考虑对“逻辑分离的环境”进行监测,只要满足以下标准: |
远程事件反应 |
由托管服务SOC处理的技术流程,以确定妥协的严重性。所有调查活动都是远程进行的,仅限于检查InsightIDR代理和平台获得的数据。远程事件响应业务不受时间限制,在每个合同年度结束时终止。 |
签名 |
基于特定攻击者或代码模式的检测 |
SOC豆荚 |
客户的环境将分配给我们的一个SOC POD,该POD由我们的世界级分析师组成。这些分析员集中在POD中,以确保每个客户都能获得连续的24x7x365监控范围,以便进行实时警报调查和事件响应。每个SOC Pod将调查为其特定客户群生成的警报。 |
威胁狩猎 |
由SOC分析员手动主动搜索环境中的网络威胁的过程。 |
威胁情报团队 |
支持MDR SOC和CAs的威胁分析和新检测。我们的Rapid7威胁情报团队的研究人员在全球威胁格局中确定了新的攻击者趋势,必威体育西汉姆联官网并利用这些发现创建针对新漏洞、利用和攻击活动的产品内检测机制。 |
用户行为分析(UBA) |
当用户在客户环境中表现出与正常用户活动的偏差时,会触发用户行为分析(UBA)检测。 |
验证 |
Rapid7 MDR SOC执行初始分类和调查,以高度自信地确定事件是非良性的,需要与客户沟通。 |
Rapid7云技术架构和能力
以下是MDR使用的Rapid7云技术列表。
技术 |
描述 |
|---|---|
负责所有客户数据的日志管理、数据处理、丰富和存储。Insight云上的每个客户实例都与其他实例隔离。 |
|
Rapid7专门为事件检测和响应而构建的云SIEM将实时威胁情报洞察力与对客户环境的深入理解和复杂的行为分析相结合,以识别威胁 |
|
客户服务门户 |
Rapid7专门构建的门户,用于向客户提供MDR内容,如调查结果和服务相关报告。 |
威胁情报引擎 |
rapid7开发的主要情报与额外的第三方来源配对,以丰富接近实时的攻击检测和响应过程。 |
客户部署的软件和配置
下面是MDR客户部署的软件列表。
技术 |
描述 |
|---|---|
为Insight cloud提供动力,并允许Rapid7分析师收集数据,以识别客户端点上的恶意活动,从而实现系统级可见性、实时检测分析以及端点调查和搜索。我们建议在所有端点上部署Insight Agent,但需要使用客户现有的软件管理流程将其部署到至少80%的许可资产(定义为工作站、台式机和服务器),以提供服务。Rapid7分配部署资源,与客户一起进行Rapid7 MDR技术堆栈的初始部署,并确保客户的事件源配置为最佳服务。必威体育app登录 |
|
洞察收集器 |
收集器从客户环境接收日志数据和代理数据。所有收集的数据在转发到Insight cloud之前都经过压缩和加密。客户负责按照Rapid7 InsightIDR文档中的说明配置收集器。收集器必须符合推荐的硬件规格。客户还负责保持收集器操作系统的补丁和最新状态。 |
Rapid7专门构建的用于事件检测和响应的云SIEM将实时威胁情报洞察与对客户环境的深入了解以及识别威胁的复杂行为分析相结合。客户还可以在InsightIDR中建立自定义警报;但是,Rapid7将无法在MDR通常涵盖的监控范围之外对这些自定义警报采取行动。此外,在关闭这些警报之前,客户团队不应在InsightIDR中修改或关闭警报,以确保Rapid7 MDR团队保持完全的可见性。 |
|
欺骗技术(可选) |
蜜罐、蜂蜜用户、蜂蜜凭证和蜂蜜文件设计用来识别使用虚假资产、用户、内存中的凭证或文件的恶意行为。 |
文件完整性监视(可选) |
针对操作系统和应用软件文件的更改而生成的警报,以识别是否发生了篡改或欺诈。Rapid7 MDR不会发出文件完整性监视警报,但客户可以从他们的InsightIDR实例进行调查。 |
洞察编排器(自动化) |
InsightIDR中的自动化功能允许客户在收到可能的恶意行为警报时,将浓缩添加到公开调查中或采取行动。客户负责调配、配置和激活Orchestrator系统以使用自动化功能。Rapid7将协助配置、激活和使用Orchestrator。Rapid7不会代表客户采取任何行动隔离资产、停止流程、禁用帐户、取消配置用户,或作为InsightIDR Automation and Orchestration suite一部分提供的任何类型的行动。 |