最后更新于2023年11月10日星期五00:25:57 GMT

近七成曾遭资料外泄的公司可能在12个月内再次遭资料外泄(CPO). 有效的补救和从根源上解决攻击是在端点上领先于威胁和重复破坏的关键. 强大的数码鉴证及事故应变(DFIR)在任何事件发生时准备就绪是安全团队工具包的关键部分,并驱动成功的响应和补救.

考虑到这一点,我们很高兴地宣布整合 Velociraptor, Rapid7领先的开源DFIR框架, 为insighttidr最终用户提供的Insight平台-所有这些都不需要额外的部署或配置. 已被我们的事件响应专家代表管理检测和响应(MDR)客户在现场使用, 终极用户现在可以体验迅猛龙的力量, 从日常的威胁监测和狩猎到快速的威胁响应.

迅猛龙在insight tidr中的主要优势:

  • Hunt 针对单个端点或整个车队的威胁和漏洞,方便地在insighttidr中进行检测, 支持更快的识别和补救.
  • 利用最新的安全研究人员和从业人员贡献 Artifacts (包含查询的结构化YAML文件)来自迅猛龙的 Exchange. 这可以确保您始终在当前威胁环境中拥有最新的覆盖范围.
  • 监控威胁活动 因为它发生在端点上,并将匹配事件转发给insighttidr,以便深入调查潜在威胁.
  • 有效地分析所有的迅猛龙数据与自定义的灵活性在insighttidr Notebooks (用于跟踪和后处理狩猎或协作调查)或 虚拟文件系统 (端点上文件的服务器端缓存).
  • 解锁扩展的威胁检测功能-如EVTX或ETW监视插件,以监视Windows事件源-与Velociraptor的客户端监控功能,并将警报调查转发到insighttidr.
  • 借助Velociraptor的富有表现力的查询语言(而不是代码),快速了解最新的新威胁,使团队能够更快、更轻松地与开源社区共享自定义检测.

让我们来看看insight tidr和迅猛龙的潜在场景

Jo是一个团队的SOC分析师,该团队使用Rapid7 Insight产品来监控和响应数千个端点的安全事件. This morning, 一封关于insighttidr新调查的电子邮件通知吸引了Jo的全部注意力——一个端点刚刚触发了一个名为“Velociraptor - alert”的安静检测规则的警报.Windows.ETW.Powershell”,预览中的数据立即让Jo感到可疑.

乔跳进了insight tidr,开始了他们的调查. 到目前为止,所讨论的端点只触发了这个警报. 是迅猛龙发来的, 这是Jo最近在Rapid7 Insight平台中添加的工具集. The artifact 是他们部署到端点进行持续监控的几个之一吗. 当包含在进程启动命令行参数中时,insighttidr和Sysmon集成已经可以检测到可疑的Powershell命令, 这个工件增加了Windows Powershell ETW提供程序中记录事件的可见性.

乔点击了insight tidr调查中提供的迅猛龙链接. 该链接直接指向警报.Windows.ETW.触发调查的端点的Powershell事件页. 从这里,乔开始 KAPE分类收集 在这个端点上. 然后他们开始在整个舰队中搜寻迄今为止收集到的妥协迹象.

来自Jo集合的数据流入UI以供审查. 注意到进程列表中有一个不熟悉的Powershell祖父母, Jo决定隔离端点. 他们回到了insighttidr标签, 搜索受影响的端点, 并切换隔离区标志. 现在,端点只能与Rapid7平台进行通信,Rapid7平台现在包含了Velociraptor.  

在数百人的狩猎范围内, 少数端点返回与Jo的初始查询匹配的结果. 乔招募了他们的一些队友来帮助分类结果并开始更深入的调查. 在迅猛龙强大的DFIR能力和乔团队的技能之间, 入侵者在完成任务之前就会被挫败.  

事件响应结束后, Jo回顾了他们为检测这种新的恶意活动而创建的新Velociraptor Artifacts. 他们决定其中一些将是有用的提交给 工件交换. 他们还借此机会浏览DIFR社区最近添加的其他内容,并将其中一些部署到他们的Velociraptor实例中.  

使用Rapid7平台托管的Velociraptor服务, Jo的团队能够跳过另一个冗长的部署过程,直接进入监控和寻找威胁. 他们也被欢迎到更广泛的开源迅猛龙社区来分享知识, threat intel, 以及帮助迅猛龙茁壮成长的从业者的DFIR技术.

了解更多关于迅猛龙和我们的扩展 端点保护.