最后更新于2023年10月5日星期四15:50:45 GMT

这篇文章将介绍我们在2023年第三季度为我们的检测和响应产品所做的一些投资,以提供先进的DFIR功能, 更灵活地使用自定义检测规则, 增强了我们的仪表板和日志搜索功能, and more.

在十大赌博正规信誉网址中使用Next-Gen杀毒软件阻止攻击

随着端点攻击变得越来越难以捉摸和频繁, 我们知道安全团队需要可靠的覆盖来保证组织的安全. 为团队提供已知和未知威胁的保护, 我们已经在十大赌博正规信誉网址中发布了multi - layer prevention with next - generation Antivirus. 可通过Insight Agent获得, 您将获得即时覆盖,无需额外配置或部署. 使用托管下一代防病毒软件,您将能够:

  • 在杀伤链的早期阻断已知和未知的威胁
  • 阻止绕过现有安全控制的恶意软件
  • 利用现有的Insight Agent最大化您的安全堆栈和投资回报率
  • 利用我们MDR团队的专业知识对这些警报进行分类和调查

要查看有关我们的托管下一代防病毒产品的更多信息,包括演示演练,请访问我们的 端点中心页面在这里.

通过集成到Insight平台中的Velociraptor实现更快的DFIR结果

由于安全团队在其端点上面临越来越多的持续威胁, 具有前瞻性的安全措施,能够在杀伤链的早期识别攻击,这一点至关重要, 以及获取详细证据的能力,以推动全面补救. 我们很高兴地宣布 insighttidr终极客户 现在能认识到价值了吗 Velociraptor, Rapid7的开源DFIR框架, 与Insight平台的新集成比以往更快.

不需要额外的部署或配置, insighttidr客户可以通过现有的Insight代理部署Velociraptor,用于日常威胁监控和狩猎, 迅速应对威胁, 扩大了威胁检测能力. 欲了解更多细节,请查看我们最近的博客.

insight tidr中迅猛龙的视图

定制警报,以您的独特需求与自定义检测规则

我们知道,当涉及到威胁检测和警报时,每个组织都有独特的需求. 而insighttidr提供了超过3个,000个开箱即用的检测规则来检测恶意行为, 我们为自定义检测规则添加了额外的功能,使团队能够根据自己的个人需求编写定制的规则. 使用自定义检测规则,您将能够:

  • 通过创建独特适合您组织安全需求的规则,构建Rapid7的专业策划检测规则库
  • 使用LEQL编写针对各种数据源的规则逻辑
  • 添加分组和阈值条件,在特定时间段内细化规则逻辑,以减少不必要的干扰
  • 在规则活动开始为下游团队触发警报之前对其进行评估
  • 按特定键(如按用户或调查中的资产)对警报进行分组,以减少分类时间
  • 创建异常并查看修改历史,就像使用开箱即用的ABA检测规则一样
  • 附加InsightConnect自动化工作流 到您的自定义规则,以减轻手动任务,如包含资产和丰富数据, 或者在检测发生时设置通知

在insighttidr中创建自定义检测规则

调查中的增强攻击者行为分析(ABA)警报详细信息

通过我们更新的证据面板,轻松查看有关您的ABA警报的信息,这些信息是调查的一部分. 有了这些更新, 您将看到有关警报的更多信息, 包括它们的源事件数据和生成它们的检测规则逻辑. Additionally, 证据按钮也被重命名为警报详细信息,以更准确地反映其功能.

新的警报细节包括:

  • 警报的简要描述和分类建议
  • 从环境中生成警报和相应的键值有效负载的检测规则逻辑
  • The process tree, 哪个显示了当警报生成时发生的流程以及之前和之后发生的流程的详细信息 (仅适用于MDR客户)

仪表盘改进:改进了卡牌生成器和新的热图可视化

我们最近发布的 改进的卡片生成器 提供更多的功能,使其更快,更容易地建立仪表板卡. 要了解新功能,请查看下面的演示.

The new 日历热图可视化 允许您更轻松地可视化随时间变化的数据趋势,以便您可以快速发现趋势和异常. 要查看这个新的可视化操作,请查看下面的演示.

使用新的日志搜索选项在本地导出数据

在导出日志搜索数据时,您现在有了更大的灵活性, 更容易收集与事件有关的证据,以便进一步搜查, 与组织中的其他人分享, 或者收集与事件有关的证据.

有了这个更新,你现在可以:

  • 使用编辑键选择来定义要导出到csv的列
  • 将grouby/ compute查询结果导出为csv文件

新的事件来源

  • 微软互联网信息服务(IIS): 用于与internet用户交换web内容的web服务器. 阅读文档
  • 亚马逊安全湖: 允许客户聚合的安全数据湖服务 & 管理安全日志. 阅读文档
  • Salesforce威胁检测: 使用机器学习来检测Salesforce组织内的威胁. 阅读文档

不断增长的可操作的检测库

在2023年第三季度,我们增加了530条新的ABA检测规则. 在产品中看到它们或访问 Detection Library 可操作的描述和建议.

Stay tuned!

As always, 我们将继续致力于令人兴奋的产品增强和发布. 请关注我们的博客 release notes 我们将继续强调Rapid7在检测和应对方面的最新进展.