Managed Detection and Response

De Managed Detection and Response (MDR) service van Rapid7 biedt een combinatie van expertise en technologie om dynamische dreigingen snel te kunnen detecteren in uw gehele ecosysteem. De MDR-service biedt hands-on, 24x7x365 threat monitoring en -hunting toegesneden op uw organisatie. Dit alles wordt gedreven door Rapid7's speciaal hiervoor gebouwde technologiestack bestaande uit Rapid7 Insight-cloud en de Threat Intelligence-infrastructuur in combinatie met de specialisten in het Security Operations Center (SOC) die u helpen uw risico's snel het hoofd te kunnen bieden, zodat u uw security maturity niveau verder kunt verhogen.

In de kern is Rapid7's MDR-service een strategisch partnerschap waarmee uw bedrijf het maturity niveau voor security verder kan verstevigen met betrekking tot detectie en reactie op dreigingen. Rapid7 MDR is als het ware een uitbreiding op uw bestaande team dat zich bezig houdt met het detecteren, onderzoeken, rapporteren en het geven van aanbevelingen voor response acties op gevonden dreigingen in uw netwerk. Rapid7 doet dit door middel van 24x7x365 monitoring door een team van security specialitsten en gebruikt hiervoor haar bewezen cloud SIEM-technologie, geavanceerde endpoint-technologie en toonaangevende threat intelligence. Met deze mix heeft Rapid7 zich als doel gesteld om aanvallers steeds een stap voor te blijven. Wanneer u van deze service gebruik maakt haalt u een securitypartner in huis die het mentorschap en de begeleiding kan bieden die nodig is om de complexiteit van cybersecurity verder te vereenvoudigen. De focus van Rapid7 ligt hierbij op het verbeteren van uw huidige incidentdetectie- en responseprocessen.

Rapid7 approach

Mensen

Uw omgeving wordt 24x7x365 bewaakt door gespecialiseerde SOC-analisten, elk met jarenlange ervaring in het bouwen van detectie- en responsprogramma's en het opsporen en valideren van dreigingen.

SOC-analisten maken gebruik van gespecialiseerde toolsets, malware-analyse, vakmanschap en toekomstgerichte samenwerking met Rapid7's threat intelligence onderzoekers om detectie en herstel van bedreigingen mogelijk te kunnen maken. De threat intelligence onderzoekers volgen voortdurend de MDR-klantomgevingen en het wereldwijde dreigingslandschap om de detectie methodologieën van het MDR-team verder te kunnen verbeteren. Deze teams worden aangevuld door uw eigen toegewezen klantadviseur die uw interface vormt met de Rapid7 SOC- en threat intelligence-teams. Deze specifieke klantadviseur die geheel op de hoogte is van de inrichting van uw omgeving geeft suggesties voor het beheer van uw technische omgeving en biedt op maat gemaakte begeleiding en aanbevelingen die specifiek zijn voor uw bedrijf en branche om uw security maturity niveau nog verder te kunnen verhogen.

Technologie

De Rapid7 Managed Detection and Response-service wordt aangedreven door de Rapid7 Insight-cloud, in combinatie met endpointinformatie die wordt verzameld door de Insight Agent, een lichtgewicht maar krachtige software die u op elk device kunt installeren - in de cloud of op locatie - om endpointinformatie te verzamelen van kritieke en externe assets in uw IT-omgeving.

De data die door de Insight Agent aan het team met MDR analisten wordt doorgegeven, stelt hen in staat om zo dicht mogelijk bij de aanvaller te kunnen komen en endpoint onderzoeken en zogenaamde ‘threat hunt’ acties op systeemniveau uit te kunnen voeren. In combinatie met de, in het Gartner quadrant hoog aangeschreven, cloud-SIEM, InsightIDR, wordt deze endpoint informatie vervolgen geparsed om tot relevante real-time inzichten te kunnen komen. De dreigingsinformatie die is verkregen wordt tegen geavanceerde gedragsanalyses (afgestemd op een diepgaand inzicht in uw bedrijf) aan gehouden teneinde dreigingen in het interne netwerk en in de gebruikte cloudservices te kunnen ontdekken.

Daarnaast stelt InsightIDR het MDR SOC-team in staat om feeds vanuit uw bestaande security infrastructuur direct te integreren, waardoor het Rapid7 MDR SOC team nog beter zicht krijgt in mogelijke dreigingen binenn uw gehele omgeving. Als klant van Rapid7 MDR heeft u volledige toegang tot uw eigen InsightIDR omgeving. Hierdoor krijgt u inzicht in het product en de uitgevoerde onderzoeken en bovendien biedt deze aanpak ook nog eens de mogelijkheid om van de tool te leren.

Proces

De Rapid7 expertise en -technologie onthult zijn ware kracht wanneer een dreiging wordt gedetecteerd. Ons team met MDR SOC-analisten gebruikt een reeks detectiemethodologieën om elke dreiging te kunnen valideren door het verzamelen van context met betrekking tot de alerts vanuit uw endpoints en door de loginformatie te verzamelen om de ernst van de situatie te kunnen beoordelen. Vervolgens worden alleen de relevante bedreigingen en verdachte situaties zoals bijvoorbeeld zaken als lateral movement gerapporteerd en worden geprioriteerde aanbevelingen gegeven (bijv. inperking, herstel en acties om te mitigeren) aan uw team in de vorm van een rapport met bevindingen. Het resultaat hiervan is dat MDR-klanten snel aanvalsactiviteiten kunnen identificeren en er vervolgens snel op kunnen reageren zonder kostbare tijd te verspillen aan het onderzoeken van een enorme berg false positives.

Wat kunt u verwachten? De aanpak van Rapid7 zorgt voor volledig inzicht en een goede georganiseerde response op incidenten die zich in uw omgeving voor kunnen doen. Hieronder staan de vier focusgebieden van de dienstverlening met Rapid7 MDR verder beschreven:

Incident detectie en validatie

  • 24/7/365 monitoring/bewaking
  • Proactieve threat hunting
  • Initiële dreigingsbeoordeling
  • Onderzoeken van dreigingen en waarschuwingen
  • Validatie van alerts

Technologie

  • Volledige toegang tot de InsightIDR capabilities
    • SIEM
    • UBA
    • ABA
    • EDR
    • Deceptie Technologie
  • Hulp bij implementaties is inbegrepen
  • Geen extra kosten voor verbruikte data

White Glove Service

  • Toegewezen specifieke klantadviseur
  • Threat Intelligence Team
  • Op de klant toegesneden dreigingsprofiel
  • Real-time rapportages met bevindingen
  • Maandelijkse dreigingsrapportages
  • Maandelijkse service status rapporten
  • Real-time pro-actieve dreigingsrapportages

Incident response en escalaties

  • Proces voor inperking, herstel en mitigatie van dreigingen
  • 2 incident escalaties inbegrepen
  • SLA’s voor notificatie van dreigingen

Het voordeel van Rapid7 MDR

Het MDR-aanbod van Rapid7 gaat veel verder dan de mogelijkheden van traditionele Managed Security Service Providers (MSSP's), die vaak onvolledige technologische oplossingen bieden zonder de vereiste expertise om de systemen te kunnen beheren en begeleiding aan klanten te kunnen bieden. Rapid7 wil meer zijn dan een leverancier die u enkel waarschuwt voor dreigingen. In tegenstelling tot het Rapid7 MDR-aanbod, biedt de typische MSSP zelden threathunting, en de ervaring is dat er vaak gewerkt wordt met een onpersoonlijke ‘one-size-fits-all’ benadering die zich alleen richt op het detecteren van malware en het verzenden van steriele afgebakende tickets in plaats van een strikte focus op het verbeteren van uw securityprogramma’s. Bekijk voor een meer gedetailleerd overzicht het Rapid7 MDR vs. MSSP vergelijkingsdocument.

De Managed Detection and Response (MDR) -service van Rapid7 biedt klanten vijf belangrijke voordelen:

1. Verbeterde security maturity
Rapid7 MDR is gepositioneerd om onze klanten op elk maturityniveau te helpen en die maturity te helpen versnellen. De dienst is niet alleen opgezet om een SIEM te beheren. Het team met SOC-analisten, tot aan uw specifieke toegewezen adviseur toe - neemt de tijd om uw bedrijfsprocessen, omgeving en branche echt te begrijpen, zodat op elk interactiepunt met de MDR-service begeleiding op maat kan worden geboden. Denkt u hierbij aan op maat gemaakte rapportages en aanbevelingen, oplos- en inperkstrategieën die uw investering in MDR afstemmen op de lange termijn verbetering van uw security over de as van alle 20 CIS controlepunten. Rapid7 gaat verder als enkel het kijken naar detectie en de erbij behorende response. Denkt u hierbij onder andere ook aan advies en mentorschap vanuit de aan u toegewezen specifieke adviseur.

2. Krachtige agent- en SIEM-technologie
MDR wordt gedreven door de Rapid7 Insight-cloud, met gegevens afkomstig van de Insight Agent om endpointonderzoek uit te kunnen voeren en threathunting toe te kunnen passen in uw omgeving. De lichtgewicht agent verenigt de data voor het MDR-team om endpointdata effectief te kunnen bekijken en te correleren, waaronder bijvoorbeeld gedetailleerde informatie over assets, Windows-register informatie, bestandsversie- en packet informatie, informatie over de lopende processen, authenticatie informatie, lokale security en event logs en veel meer.

Dit zijn gegevens die ‘at rest’ en ’in transit’ worden versleuteld terwijl ze naar de InsightIDR omgeving worden toegezonden ten behoeve van logcorrelatie en -onderzoek. Gecombineerd bieden de Insight Agent, InsightIDR en het MDR-team zicht op systeemniveau om realtime detectie op het endpoint te kunnen doen, dit is immers het dichtstbijzijnde punt dat zich bij de aanvaller bevindt. Als klant van de MDR-service heeft uw team directe toegang tot uw eigen InsightIDR omgeving waardoor u volledige transparantie krijgt over onze services en de mogelijkheid om met het MDR-team te kunnen communiceren. Klanten en hun security teams werken hierdoor met één leverancier voor zowel MDR-services als SIEM – en EDR technologie.

3. Toonaangevende dreigingsinformatie
Klanten maken gebruik van Rapid7's primaire informatie over bedreigingen over bijvoorbeeld het gedrag van aanvallers en algemene indicators of compromise (IOC’s). Dit alles wordt mogelijk gemaakt door Rapid7's Managed threat intelligence engine, de vele onderzoeksprojecten op het gebied van cybersecurity, informatie over kwetsbaarheden, inzichten vanuit endpoints bij klanten en de Rapid7 SecOps Services. Bovendien maakt Rapid7 gebruik van de beste dreigingsinformatie van derde partijen en van beveiligingspartners in de gemeenschap, met name door de betrokkenheid van Rapid7 als lid van de Cyber Threat Alliance (CTA) met bestuurs- en commissiezetels.

4. Managed Services-team met specialisten
De wereldwijd opererende MDR SOC-teams zijn samengesteld uit securityspecialisten met veel ervaring met zowel red team- als blue team exercises in combinatie met een toegewezen, primaire ‘high-tier’ analist die als specialist fungeert voor het gebruikersgedrag binnen uw organisatie, de binnen het bedrijf gebruikte endpoints en de opzet van uw netwerken. Deze specifiek aangestelde analist gebruikt zijn/haar diepgaande kennis van aanvallerstools, -tactieken en -procedures (TTP’s) om kwaadaardige activiteiten vroegtijdig op te kunnen sporen en zo elke potentiële bedreiging te kunnen valideren. De SOC-analisten fungeren als een verlengstuk van uw eigen beveiligingsteam en passen de MDR-service specifiek aan uw branche en zelfs uw bedrijf aan. Activiteiten omvatten het opsporen van dreigingen, adequate validatie van dreigingen en instructies en aanbevelingen voor beperking en herstelacties voor enkel de relevante dreigingen.

5. Inbegrepen escalatie van incidenten
Rapid7 biedt twee (2) escalaties voor incidenten per jaar binnen de MDR Service, waarmee MDR-klanten de mogelijkheid hebben om zeer snel specialisten in te kunnen inschakelen in geval van een serieus security incident waar direct hulp nodig is.

Our products

Vendors

Sourcefire, Niksun, Netwrix, Redsocks, Rapid 7, Unomaly, Logpoint, Isight Partners

For more information, call our security consultants at +31 (0) 345 506 105 or send an email to info@isoc24.com