Analysen
Rapid7 ergänzt InsightIDR mit der Überwachung von GCP-Daten (Google Cloud Platform)
InsightIDR wurde entwickelt, um dynamische und sich schnell ändernde Cloud-Umgebungen, einschließlich Remote Worker, Hybrid Cloud- und lokale Architekturen, sowie vollständig Cloud-Umgebungen zu überwachen. Heutzutage verwenden immer mehr Unternehmen Multi-Cloud- oder Hybridumgebungen, wodurch eine zunehmend verteilte Sicherheitsumgebung entsteht. Laut der IDG Cloud Computing-Umfrage 2020 arbeiten 92% der IT-Umgebungen mit der Cloud. Mehr als die Hälfte davon verwendet dabei mehrere öffentliche Clouds.
Die Google Cloud Platform (GCP) ist einer der führenden Cloud-Anbieter im Jahr 2021 und wird von führenden Unternehmen in verschiedenen Branchen als vertrauenswürdig eingestuft. GCP verfügt über eine große Reichweite und ist in über 200 Ländern verfügbar.
Um den Kunden weitere Support- und Überwachungsfunktionen bieten zu können, hat Rapid7 kürzlich die Google Cloud Platform (GCP) als Ereignisquelle in InsightIDR hinzugefügt. Mit dieser neuen Integration können die Unternehmen Benutzerereignisse, Verwaltungsaktivitäten und von GCP generierte Protokolldaten, erfassen, um die laufenden Instanzen und Kontoaktivitäten in InsightIDR zu überwachen. Dabei können auch die Firewall-Ereignisse gesendet werden, um entsprechende Firewall-Warnungen, Bedrohungserkennungsprotokolle und Warnungen von Drittanbietern in InsightIDR zu generieren.
Mit dieser neuen Integration können die GCP-Daten zusammen mit anderen Sicherheitsdaten in InsightIDR erfasst werden, um Expertenwarnungen zu erhalten und Daten in der Cloud-Umgebung effizienter zu analysieren.
Mit InsightIDR schneller Google Cloud-Bedrohungen finden
Sobald die GCP-Unterstützung hinzugefügt wurde, kann InsightIDR die Benutzer, die sich bei Google Cloud anmelden, als Eingangsereignisse sehen, so als würden sich die Nutzer über VPN am Unternehmen anmelden. Dadurch können die Security-Teams
- erkennen, wenn Eingangsaktivitäten von einer nicht vertrauenswürdigen Quelle stammen, z. B. einer Bedrohungs-IP oder einem ungewöhnlichen fremden Land.
- erkennen, wann sich Nutzer aus mehreren Ländern gleichzeitig im Unternehmensnetzwerk und / oder Ihrer Google Cloud-Umgebung anmelden. Dies könnte ein Indikator für ein gefährdetes Konto sein.
- ermitteln, wenn sich ein Nutzer, der im Unternehmensnetzwerk deaktiviert wurde, trotzdem erfolgreich bei der Google Cloud-Umgebung authentifiziert. Dies kann darauf hinweisen, dass einem gekündigten Mitarbeiter der Zugriff von GCP nicht entzogen wurde und er nun mit der GCP-Umgebung verbunden ist.