Rapid7 InsightIDRのご紹介

 2020.11.27  株式会社テリロジー 技術統括部

こんにちは!
テリロジーのY.Tです。

先日、Rapid7社の「InsightIDR」という製品の検証を実施しました。

Rapid7社の製品は、脆弱性管理製品であるInsightVMや、複数の製品を連携させ、処理を自動化するSOAR製品であるInsightConnectなどございますが、今回検証した製品はSIEM、EDR、NTA機能を合わせ持った「InsightIDR」です。

InsightIDRとは?

InsightIDRはSaaS製品であり、Webからログインすることで製品を利用することが可能です。
エンドポイント端末の攻撃検知が実施可能なEDR、ネットワークトラフィックから脅威検知および振る舞い分析が可能なNTA、ログの収集や確認が可能な分析ツールであるSIEMの機能を持った製品です。

またユーザ行動分析(UEA)と攻撃者の行動分析(ABA)用のすぐに利用可能なアラートが用意されています。

リモートワークの加速などにより境界防御が難しいユーザを含め、セキュリティ脅威の「検知」と「対応」を行うためのセキュリティ監視基盤を簡単かつ迅速に構築することができるセキュリティ製品です。

収集可能なログ

クラウドサービス、Splunkなどの外部SIEM製品、DHCP、DNS、ActiveDirectory、ファイアウォール、ウイルススキャナー、VPN、Webプロキシなどの幅広いログを、コレクターと呼ばれる情報を収集するソフトを通して取り込むことができます。
取り込んだログはビルトインのダッシュボードで、すぐに可視化することが可能です。

エンドポイントのデータは、エージェントをインストールすることや、コレクターを通してデータを収集します。

また、生ログやCyberArk VaultやAWS GuardDutyなどの3rdパーティーのアラートをデータソースとして指定し、InsightIDRでアラートを上げることもできます。

データソースとして指定可能な製品の詳細は以下のヘルプページをご確認ください。

docs.rapid7.com

上記の他、ミラーポートを利用してネットワークのトラフィックデータを収集し、IDRに送信する「Network Sensor」と呼ばれるツールを利用することで、NTA(Network Traffic Analysis)機能を利用し、悪意のある特定のURLやドメインへの通信を確認するとアラートを発報することもできます。 

SIEM機能

収集したログやアラートが発生した際のログを分析することができます。
クエリを1から入力する以外に、条件を選択することで作成できるようになっており、感覚的に情報を絞り込んで確認することが可能です。

SIEM機能

EDR機能

エンドポイントから収集したログから、脅威を発見し、アラートを発報します。
ログをクエリした結果からカスタムアラートを作成し、利用することも可能ですが、2種類のビルトインのアラートを利用することもできます。
ビルトインのアラートはユーザの行動に注目したアラートと、悪意あるファイルのダウンロードやサイトへのアクセスなど攻撃される可能性のあるアラートがございます。

調査画面

ログだけでなく、ネットワークフロー内の悪意ある通信を検出し、アラートを一括管理することができます。
アラート検出時には、自動で調査用のアラート詳細画面が生成され、担当者を割り当てることや調査メモを残すことなど担当者同士で調査を円滑に進めることができる機能がございます。

調査画面 画像1

また、アラートに関連しているユーザの端末も確認することができます。端末に登録されているユーザやログイン履歴、利用しているクラウドサービスなどを把握できます。

調査画面 画像2

その他

処理の自動化機能

  • InsightConnectというRapid7社のSOAR製品のテンプレートを利用し、アラートが発報された後の処理を自動化することができます。

InsightIDRの特徴

一番特徴的だと感じたものはビルトインアラートの内容です。

ビルトインアラートは攻撃者が内部に侵入した後で、権限昇格などを実施し成りすまして行動していると考えられる場合発報されるUBAアラート、また、メールの添付ファイル内に実行ファイルが含まれており、C&Cサーバなど攻撃者のサーバへ通信をしようとした際にはABAアラート内の項目が検出されます。

Rapid7社でハニーポットや攻撃の分析チームなどを通じて収集した実際の攻撃をもとに作成されたアラートが利用でき、アラート内容から想定される攻撃者もわかるため、攻撃者をより身近に感じられることでセキュリティの大切さを感じました。

UBAアラートの例)

  • ActiveDirectoryで無効にしたユーザのアカウントを利用し、ActiveDirectoryへのログインを試行した場合発報されるアラート

    アラート名:Authentication attempt from disabled account

ABAアラートの例)

  • Invoke-Mimikatz(資格情報を取得するツール)のインストールを試行した場合発報されるアラート

 アラート名:
 Suspicious Process - PowerShell Download Cradles
 Attacker Tool - PowerShell Parameters DumpCreds or DumpCerts For Mimikatz

まとめ

検証を終えたうえでの率直な感想としまして、InsightIDRはSIEM、EDR、NTAのそれぞれの機能が素早く、バランスよく利用できると感じました。

特にRapid7社のナレッジを利用し、ビルトインで用意されたアラート機能でサイバー攻撃の検出が簡単にできることは、大きな魅力だと思いました。

セキュリティに特化した製品を複数持ち、運用していくのではなく、1つの製品の利用で必要なエンドポイントのセキュリティ対策、ログ分析、ネットワークトラフィックからの脅威検出が可能となること、また、GUIの画面が見やすいことから、運用コストの削減に役立てられます。

また、SaaS製品のため初期構築に時間や費用もかからず、リモートワークで早急なセキュリティ対策を求められているお客様には、すぐに始められるセキュリティ対策製品としておすすめの製品です。


Rapid7 InsightIDRのご紹介