Übersicht über die Rapid7 InsightVM-Lösung: Vor- und Nachteile, Preise und Tutorial

Was ist Rapid7 InsightVM?

Rapid7 InsightVM ist eine Schwachstellenmanagement-Lösung, die Schwachstellen identifiziert, priorisiert und behebt. Sie ermöglicht eine kontinuierliche Überwachung von IT-Umgebungen und verschafft Einblick in die Ressourcen und Bedrohungen innerhalb eines Netzwerks.

Die Plattform lässt sich in bestehende Sicherheits-Frameworks integrieren und bietet Einblicke, einschließlich Richtlinien zur Behebung, die das Schwachstellenmanagement ermöglichen. Mithilfe einer Datenanalyse-Engine priorisiert InsightVM Schwachstellen basierend auf ihrem Risiko und stellt so sicher, dass die kritischsten Probleme zuerst behoben werden.

Empfohlene Lektüre:Was ist SIEM, warum ist es wichtig und 13 Schlüsselfunktionen.

Hauptfunktionen von Rapid7 InsightVM

Risikopriorisierung und Klarheit

InsightVM zeichnet sich durch eine hervorragende Risikopriorisierung aus. Die Echtzeit-Datenanalyse-Engine bewertet Schwachstellen und weist ihnen Schweregrade zu. Dieser Prozess ermöglicht es Sicherheitsteams, sich zunächst auf die kritischsten Bedrohungen zu konzentrieren und so die Behebungsmaßnahmen zu optimieren.

Die Risikotransparenzfunktion der Plattform ermöglicht es Benutzern, die Auswirkungen von Schwachstellen zu verstehen und so Prioritäten zu setzen. Neben der Priorisierung von Risiken liefert InsightVM Informationen zur Kritikalität von Assets und zur Wahrscheinlichkeit von Bedrohungen.

Sanierungsstrategien

Rapid7 InsightVM bietet Automatisierungs- und Integrationsstrategien zur Fehlerbehebung. Automatisierte Workflows implementieren Fehlerbehebungen und reduzieren den manuellen Aufwand. Das System lässt sich in Ticketing- und Patch-Management-Tools integrieren und stellt so sicher, dass Fehlerbehebungsaufgaben nahtlos in bestehende Prozesse integriert werden. Durch die Analyse von Trends und Mustern schlägt InsightVM Lösungswege vor.

Endpunktbewertung

InsightVM bietet eine Endpunktbewertung, die es Unternehmen ermöglicht, die Sicherheit ihrer Geräte zu verstehen und zu verwalten. Durch die Untersuchung der Endpunktkonfigurationen identifiziert die Plattform Schwachstellen und Compliance-Verstöße und bietet Verbesserungsvorschläge.

Die gesammelten Endpunktdaten helfen Sicherheitsteams, nicht autorisierte Geräte zu erkennen.

Technologieintegrationen

Wie andere Lösungen lässt sich Rapid7 InsightVM in andere Sicherheitslösungen integrieren und bietet so einen einheitlichen Ansatz für das Schwachstellenmanagement. Diese Integrationen umfassen SIEM-Tools, IT-Service-Management-Systeme und Endpunktschutzplattformen und ermöglichen optimierte Sicherheitsabläufe zur Verbesserung der Reaktionsfähigkeit auf Bedrohungen.

Durch seine offene API erleichtert InsightVM benutzerdefinierte Integrationen und ermöglicht es Unternehmen, die Plattform an ihr vorhandenes Toolset anzupassen.

Einschränkungen von Rapid7 InsightVM

Obwohl Rapid7 InsightVM ein anerkanntes Tool für das Schwachstellenmanagement ist, weist es einige Einschränkungen auf, die Benutzer beachten sollten. Diese Einschränkungen wurden von Benutzern der G2-Plattform gemeldet:

• Komplexer Einrichtungsprozess: Die Ersteinrichtung kann schwierig und zeitaufwändig sein, insbesondere für neue Benutzer.
• Hohe Kosten: Im Vergleich zu anderen Tools zur Schwachstellenverwaltung ist InsightVM teuer und daher möglicherweise nicht für Unternehmen mit knappem Budget geeignet.
• Falsch-Positive: Einige Benutzer berichten von falsch-positiven Scan-Ergebnissen, die unnötige Korrekturmaßnahmen erforderlich machen.
• Fehlerhafte Sicherheitskonsole: Es wurde berichtet, dass die Sicherheitskonsole Fehler aufweist, die ihre Zuverlässigkeit beeinträchtigen können.
• Langsame Schwachstellenerkennung: Es kann Tage dauern, bis die Plattform bestimmte Schwachstellen erkennt, was bei kritischen Problemen einen erheblichen Nachteil darstellt.
• Hoher Verwaltungsaufwand: Die Verwaltung der Plattform erfordert einen erheblichen Verwaltungsaufwand, insbesondere für große Organisationen.
• Ressourcen- und Speicherverbrauch: InsightVM kann viel Speicher verbrauchen und Benutzer müssen die Ressourcennutzung ständig optimieren.
• Eingeschränkte Skalierbarkeit für große Unternehmen: Die Verwaltung mehrerer Scanaufträge und die Asset-Kennzeichnung sind für sehr große Umgebungen nicht detailliert genug.
• Kein Echtzeit-Bedrohungsschutz: InsightVM verfügt nicht über ein Echtzeit-Bedrohungsschutzmodul, was seine Möglichkeiten für sofortige Reaktionen einschränkt.

InsightVM-Preise

Die Preise für Rapid7 InsightVM richten sich nach der Anzahl der zu überwachenden Assets. Für größere Assets sind mengenabhängige Rabatte verfügbar. Beispielsweise betragen die Kosten für die Verwaltung von 500 Assets ca. 1,93 US-Dollar pro Asset und Monat, was jährlich 23,18 US-Dollar pro Asset entspricht. Die Preise können je nach Gesamtanzahl der Assets und zusätzlichen Serviceanforderungen variieren.

Kunden können die Anzahl ihrer Assets gestaffelt skalieren und haben die Wahl zwischen 250 und über 1.250 Assets. Für größere oder spezielle Unternehmensanforderungen gibt es auch Enterprise-Preispläne. Weitere Informationen finden Sie auf der offiziellen Preisseite.

Tutorial: Erste Schritte mit Rapid7 InsightVM

Dieses Tutorial zeigt den grundlegenden Prozess der Bereitstellung und Verwendung von Rapid7 InsightVM. Die Anweisungen sind der Rapid7-Dokumentation entnommen.

Herunterladen und Installieren unter Linux

Um Rapid7 InsightVM auf einem Linux-System zu installieren, benötigen Sie Folgendes:

• Das neueste Linux-Installationsprogramm zusammen mit der entsprechenden Prüfsummendatei zur Überprüfung der Downloadintegrität.
• Ein gültiger Produktschlüssel zum Aktivieren Ihrer Lizenz.
• Stellen Sie sicher, dass SELinux deaktiviert ist, bevor Sie mit der Installation fortfahren. Zusätzlich wird die Installation des tmux- oder screen-Pakets empfohlen, um interaktive Terminalsitzungen sowohl für die Sicherheitskonsole als auch für die Scan-Engine zu ermöglichen.

Schritte zur Installation:

1. SELinux deaktivieren: Öffnen Sie die Datei /etc/selinux/config in einem Texteditor, suchen Sie die Zeile, die mit SELINUX= beginnt, und setzen Sie den Wert auf „deaktiviert“. Speichern und schließen Sie die Datei. Starten Sie anschließend das System neu, damit die Änderungen wirksam werden.
2. Überprüfen Sie das Installationsprogramm: Laden Sie das Linux-Installationsprogramm und die zugehörige Prüfsummendatei herunter. Verwenden Sie den Befehl sha512sum, um die Integrität der Datei sicherzustellen. Bei erfolgreicher Überprüfung erhalten Sie eine „OK“-Meldung.
3. Machen Sie das Installationsprogramm ausführbar: Ändern Sie die Berechtigungen mit chmod +x <installer_file_name>.
4. Führen Sie das Installationsprogramm mit dem Befehl ./<installer_file_name> -c aus. Folgen Sie den Anweisungen auf dem Bildschirm, um die Installation abzuschließen.

Machen Sie sich mit der Konsole vertraut

Standardelemente auf der Homepage:

• Risiken und Assets im Zeitverlauf: Dieses Panel zeigt zwei Liniendiagramme – eines für die Gesamtzahl der Assets in Ihrer Umgebung und eines für Ihren Gesamtrisikowert. Der Risikowert spiegelt den Schweregrad der in Ihren Assets gefundenen Schwachstellen wider.

• Sites: Eine Site in InsightVM ist eine Gruppe von Assets, die Sie gemeinsam scannen. Die Site-Tabelle auf der Startseite listet alle Ihre konfigurierten Sites auf und zeigt deren aktuellen Status und Scan-Metriken an.
• Aktuelle Scans für alle Websites: Diese Tabelle zeigt alle Scans an, die derzeit auf allen Ihren Websites ausgeführt werden. Sie bietet Statusaktualisierungen in Echtzeit, sodass Sie den Scan-Fortschritt überwachen und sicherstellen können, dass alles reibungslos läuft.
• Asset-Gruppen: Asset-Gruppen sind Sammlungen von Assets mit ähnlichen Merkmalen und dienen der laufenden Überwachung und Berichterstattung. In diesem Bereich sehen Sie alle von Ihnen erstellten Asset-Gruppen sowie die zugehörigen Scan-Ergebnisse. Dies ist hilfreich für die Nachverfolgung von Assets anhand bestimmter Kriterien wie Gerätetyp, Standort oder Sicherheitsrisiko.

• Asset-Tags: Mit InsightVM können Sie Ihren Assets, Sites und Asset-Gruppen Tags zuweisen. Tags bieten zusätzlichen Kontext und erleichtern die Verwaltung und Filterung von Assets anhand von Attributen wie Betriebssystem, Funktion oder Kritikalität.
• Gefilterte Asset-Suche: Durch Klicken auf das Filtersymbol können Sie Ihre gescannten Assets anhand verschiedener Parameter wie Schweregrad der Sicherheitslücke, Asset-Standort oder Betriebssystem durchsuchen. So können Sie schnell risikoreiche Assets oder bestimmte Geräte identifizieren, die sofortige Aufmerksamkeit erfordern.
• Suchfeld: Über das Suchfeld können Sie durch Eingabe einer Suchzeichenfolge bestimmte Assets, Sites, Gruppen, Schwachstellen oder Common Configuration Enumerations (CCEs) finden.
• Kalender: Durch Klicken auf das Kalendersymbol wird eine Kalenderansicht geöffnet, in der alle geplanten Scans, Berichterstellung und Sperrzeiten angezeigt werden. Dies erleichtert Ihnen die Verwaltung der Scan- und Berichtszeitpunkte.
• Benachrichtigungscenter: Das Benachrichtigungscenter ist ein zentraler Ort für alle Produktbenachrichtigungen. Diese sind nach Wichtigkeit farblich gekennzeichnet, sodass Sie kritische Warnungen leicht erkennen können. Benachrichtigungen können wichtige Updates, Warnungen zu Umweltproblemen oder Handlungsempfehlungen zur Verbesserung der Sicherheit enthalten.

Erstellen und scannen Sie Ihre erste Site

Hier finden Sie eine Übersicht zum Erstellen und Starten des Scannens einer Site.

Erstellen Sie eine Site:

1. Klicken Sie auf der Startseite auf das Dropdown-Menü „Erstellen“ und wählen Sie „Site“ aus.
2. Geben Sie Ihrer Site einen Namen und beschreiben Sie sie im Abschnitt „Info & Sicherheit“.
3. Geben Sie im Abschnitt „Assets“ die zu scannenden Assets an, indem Sie deren Namen, IP-Adressen oder IP-Bereiche eingeben.

Authentifizierung einrichten:

1. Gehen Sie zu Authentifizierung, klicken Sie auf Anmeldeinformationen hinzufügen und geben Sie einen Namen und eine Beschreibung ein.
2. Wählen Sie unter der Registerkarte „Konto“ den gewünschten Authentifizierungsdienst aus und geben Sie die erforderlichen Anmeldeinformationen ein.
3. Testen Sie Ihre Anmeldeinformationen, indem Sie eine IP-Adresse oder einen vollqualifizierten Domänennamen (FQDN) und eine Portnummer angeben. Bei erfolgreichen Tests wird eine grüne Bestätigungsmeldung angezeigt.

Führen Sie einen vollständigen Scan durch:

4. Wählen Sie auf der Registerkarte „Scanvorlage auswählen“ die Option „Vollständige Prüfung ohne Web-Spider“ aus.
5. Wählen Sie auf der Registerkarte „Engine auswählen“ die entsprechende Scan-Engine aus.
6. Klicken Sie auf „Speichern und scannen“, um den vollständigen Scan zu starten.

Nach dem Start des Scans wird der Fortschritt im Abschnitt „Scan-Fortschritt“ angezeigt. Nach Abschluss können Sie die Scan-Ergebnisse, einschließlich der Risikobewertungen für jedes Asset, anzeigen und die Behebung anhand der identifizierten Schwachstellen priorisieren.

Exabeam: Ultimative Rapid7-Alternative

Exabeam ist ein führender Anbieter von Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM), die UEBA, SIEM, SOAR und TDIR kombinieren, um die Sicherheitsabläufe zu beschleunigen. Seine Security Operations-Plattformen ermöglichen es Sicherheitsteams, Bedrohungen schnell zu erkennen, zu untersuchen und darauf zu reagieren und gleichzeitig die betriebliche Effizienz zu steigern.

Hauptmerkmale:

• Skalierbare Protokollerfassung und -verwaltung: Die offene Plattform beschleunigt das Onboarding von Protokollen um 70 %, sodass keine fortgeschrittenen technischen Kenntnisse mehr erforderlich sind, und gewährleistet gleichzeitig eine nahtlose Protokollaggregation in hybriden Umgebungen.
• Verhaltensanalyse: Verwendet erweiterte Analysen, um normales und abnormales Verhalten zu vergleichen und Insider-Bedrohungen, laterale Bewegungen und komplexe Angriffe zu erkennen, die von signaturbasierten Systemen übersehen werden. Kunden berichten, dass Exabeam 90 % der Angriffe erkennt und darauf reagiert, bevor andere Anbieter sie abfangen können.
• Automatisierte Reaktion auf Bedrohungen: Vereinfacht Sicherheitsvorgänge durch Automatisierung der Vorfallzeitpläne, Reduzierung des manuellen Aufwands um 30 % und Beschleunigung der Untersuchungszeiten um 80 %.
• Kontextbezogene Vorfalluntersuchung: Da Exabeam die Zeitleistenerstellung automatisiert und den Zeitaufwand für Routineaufgaben reduziert, verkürzt sich die Zeit für die Erkennung und Reaktion auf Bedrohungen um über 50 %. Vorgefertigte Korrelationsregeln, Modelle zur Anomalieerkennung und Anbieterintegrationen reduzieren die Anzahl der Warnmeldungen um 60 % und minimieren Fehlalarme.
• SaaS- und Cloud-native Optionen: Flexible Bereitstellungsoptionen bieten Skalierbarkeit für Cloud-First- und Hybridumgebungen und gewährleisten eine schnelle Wertschöpfung für Kunden. Für Unternehmen, die ihr SIEM nicht in die Cloud migrieren können oder wollen, bietet Exabeam ein marktführendes, voll funktionsfähiges und selbst gehostetes SIEM.
• Netzwerktransparenz mit NetMon: Bietet tiefe Einblicke über Firewalls und IDS/IPS hinaus, erkennt Bedrohungen wie Datendiebstahl und Botnet-Aktivitäten und erleichtert die Untersuchung durch flexible Suchfunktionen. Deep Packet Analytics (DPA) basiert außerdem auf der NetMon Deep Packet Inspection (DPI)-Engine, um wichtige Indikatoren für Kompromittierungen (IOCs) zu interpretieren.

Die Kunden Exabeam betonen immer wieder, wie die KI-gestützten Tools für Echtzeittransparenz, Automatisierung und Produktivität die Sicherheitskompetenz des Unternehmens verbessern, überforderte Analysten in proaktive Verteidiger verwandeln und gleichzeitig die Kosten senken und branchenführenden Support bieten.

Erfahren Sie mehr über Exabeam SIEM