Rapid7 InsightVMソリューションの概要：長所/短所、価格、チュートリアル

Rapid7 InsightVMとは？

Rapid7InsightVMは、脆弱性の特定、優先順位付け、修復を行う脆弱性管理ソリューションです。IT環境を継続的に監視し、ネットワーク内の資産や脅威を可視化します。

このプラットフォームは、既存のセキュリティフレームワークと統合し、脆弱性管理を可能にする修復ガイドラインなどの洞察を提供します。データ分析エンジンを使用して、InsightVMはリスクに基づいて脆弱性に優先順位を付け、最も重要な問題が最初に対処されるようにします。

推奨図書：SIEMとは何か、なぜ重要なのか、そして13の主要機能。

Rapid7 InsightVMの主な機能

リスクの優先順位付けと明確化

InsightVMは、脆弱性を評価し、重大度スコアを割り当てるリアルタイムのデータ分析エンジンを活用することで、リスクの優先順位付けに優れています。このプロセスにより、セキュリティチームは最も重要な脅威に最初に焦点を当てることができ、修復作業が効率化されます。

同プラットフォームのリスク明確化機能は、優先順位付けのために脆弱性の影響をユーザーが理解できるようにすることを意図している。リスクの優先順位付けに加えて、InsightVMは資産の重要度や脅威の可能性などの情報を提供します。

修復戦略

Rapid7 InsightVMは自動化と統合修復戦略を提供する。自動化されたワークフローは、修正プログラムの実装と手作業の削減を意図しています。システムは発券ツールやパッチ管理ツールと統合され、修復タスクが既存のプロセスにシームレスに組み込まれるようにします。傾向やパターンを分析することで、InsightVMは改善策を提案します。

エンドポイント評価

InsightVM はエンドポイントのアセスメントを提供し、企業がデバイスのセキュリティを把握・管理できるようにします。エンドポイントの構成を調査することで、このプラットフォームは脆弱性とコンプライアンス違反の領域を特定し、改善のための推奨事項を提示します。

収集されたエンドポイントデータは、セキュリティチームが不正なデバイスを検出するのに役立つ。

技術統合

他のソリューションと同様に、Rapid7 InsightVM は他のセキュリティソリューションと統合し、脆弱性管理への統一されたアプローチを提供します。これらの統合にはSIEMツール、ITサービス管理システム、エンドポイントプロテクションプラットフォームが含まれ、合理化されたセキュリティオペレーションを可能にし、脅威への対応能力を強化します。

InsightVMは、オープンなAPIを通じてカスタム統合を容易にし、既存のツールセットに合わせてプラットフォームをカスタマイズできる。

Rapid7 InsightVMの制限事項

Rapid7 InsightVMは、脆弱性管理のツールとして高く評価されていますが、ユーザが認識しておくべきいくつかの制限があります。これらの制限は、G2プラットフォームのユーザーから報告されたものです：

• 複雑なセットアッププロセス：特に新規ユーザーにとって、初期設定は難しく時間がかかる。
• コストが高い：他の脆弱性管理ツールと比較すると、InsightVM は高価であるため、予算が限られている組織には合わないかもしれない。
• 誤検出：一部のユーザーから、スキャン結果で偽陽性が検出され、不必要な修復作業が行われたとの報告がある。
• バグだらけのセキュリティコンソール：セキュリティ・コンソールにはバグがあり、信頼性に影響することが報告されている。
• 脆弱性の特定が遅い：このプラットフォームは、特定の脆弱性を検出するのに数日かかることがあり、これは重要な問題にとっては重大な欠点となる。
• 高い管理オーバーヘッド：プラットフォームの管理には、特に大組織にとっては、かなりの管理労力が必要となる。
• リソースとメモリの消費：InsightVMは多くのメモリを消費するため、ユーザーは常にリソースの使用量を最適化する必要がある。
• 大企業向けの拡張性に限界がある：複数のスキャンジョブや資産タグの管理は、非常に大規模な環境では粒度が十分ではありません。
• リアルタイムの脅威対策がないInsightVMにはリアルタイムの脅威防御モジュールがないため、即時対応に限界がある。

InsightVMの価格

Rapid7 InsightVMの価格は、監視する資産数に基づいて構成されており、資産数が多い場合はボリュームベースの割引が利用できます。例えば、500の資産を管理する場合のコストは、1資産あたり月額約1.93ドルで、年間では23.18ドルです。料金は資産総数や追加サービス要件によって異なる場合があります。

顧客は、250から1,250以上の資産を管理するためのオプションで、スライディングスケールを使用して資産数を拡大することができます。また、より大規模または特殊な組織のニーズに対応するエンタープライズ価格プランもあります。詳しくは公式価格ページをご覧ください。

チュートリアルRapid7 InsightVMを使い始める

このチュートリアルでは、Rapid7 InsightVM のデプロイと使用に関する基本的なプロセスを説明します。手順は、Rapid7 のドキュメントから引用しています。

ダウンロードとLinuxへのインストール

Linux システムに Rapid7 InsightVM をインストールするには、以下が必要です：

• 最新のLinuxインストーラーと、ダウンロードの完全性を確認するための対応するチェックサムファイル。
• ライセンスを有効にするための有効なプロダクトキー。
• インストールを続行する前に、SELinuxが無効になっていることを確認してください。さらに、セキュリティ コンソールとスキャン エンジンの両方で対話型端末セッションを有効にするには、tmux または screen パッケージをインストールすることを推奨します。

インストールの手順

1. SELinuxを無効にする：テキストエディタで/etc/selinux/configを開き、SELINUX=で始まる行を見つけて、値をdisabledに設定する。ファイルを保存して終了し、システムを再起動して変更を有効にする。
2. インストーラーを確認する：Linuxインストーラとそのチェックサムファイルをダウンロードする。sha512sumコマンドを使用して、ファイルの完全性を確認する。検証に成功すると、「OK」メッセージが表示されます。
3. インストーラーを実行可能にする：chmod +x <installer_file_name> でパーミッションを変更してください。
4. インストーラーを実行します：./<installer_file_name> -cのコマンドを使用してインストーラーを実行します。画面の指示に従ってインストールを完了します。

コンソールに慣れる

ホームページのデフォルト項目：

• リスクとアセットの経時変化：このパネルには、環境内のアセットの総数と全体的なリスクスコアの2つの折れ線グラフが表示されます。リスク・スコアは、お客様の資産全体で発見された脆弱性の深刻度を反映しています。

• サイト：InsightVM のサイトは、一緒にスキャンするアセットのグループです。ホームページのサイト・テーブルには、構成済みのサイトがすべて一覧表示され、現在のステータスとスキャン・メトリクスが表示されます。
• 全サイトの現在のスキャン:このテーブルには、全サイトで現在進行中のスキャンが表示されます。リアルタイムでステータスが更新されるため、スキャンの進行状況を監視し、すべてがスムーズに実行されていることを確認できます。
• アセットグループ：アセットグループは、同様の特性を共有するアセットの集まりで、継続的なモニタリングとレポーティングに使用されます。このパネルには、作成したすべての資産グループと、関連するスキャン結果が表示されます。これは、デバイスの種類、場所、セキュリティリスクなどの特定の基準に基づいて資産を追跡するのに便利です。

• 資産タグ：InsightVMでは、資産、サイト、資産グループにタグを割り当てることができます。タグは追加のコンテキストを提供し、オペレーティングシステム、機能、重要度などの属性に基づく資産の管理とフィルタリングを容易にします。
• フィルタによる資産検索：フィルタアイコンをクリックすると、脆弱性の深刻度、資産の場所、オペレーティングシステムなど、さまざまなパラメータを使用してスキャンした資産を検索できます。これにより、リスクの高い資産や早急な対応が必要な特定のデバイスを迅速に特定することができます。
• 検索フィールド：検索フィールドでは、検索文字列を入力することで、特定の資産、サイト、グループ、脆弱性、または共通構成列挙（CCE）を検索できます。
• カレンダー：カレンダーアイコンをクリックすると、スケジュールされたすべてのスキャン、レポート生成、およびブラックアウト期間を表示するカレンダービューが開きます。これは、スキャンとレポートのタイミングを管理するのに役立ちます。
• 通知センター:通知センターは、すべての製品内通知の一元的な場所を提供します。重要度別に色分けされているため、重要なアラートを簡単に識別できます。通知には、重要なアップデート、環境問題に関する警告、セキュリティ向上のための推奨アクションなどが含まれます。

最初のサイトの作成とスキャン

ここでは、サイトを作成してスキャンを開始する方法の概要を説明します。

サイトを作成する：

1. ホーム・ページから、[Created]ドロップダウンをクリックし、[Site]を選択します。
2. あなたのサイトに名前を付け、Info & Securityセクションで説明してください。
3. ​資産] セクションで、名前、IP アドレス、または IP 範囲を入力して、スキャンする資産を指定します。

認証を設定する：

1. ​Authentication］に進み、［Add credentials］をクリックして、名前と説明を入力する。
2. ​Accountタブで、必要な認証サービスを選択し、必要な認証情報を入力します。
3. IPアドレスまたは完全修飾ドメイン名（FQDN）とポート番号を指定して、認証情報をテストします。テストに成功すると、緑色の確認メッセージが表示されます。

フルスキャンを実行します：

4. 選択ウェブスパイダーを使わない完全監査よりスキャンテンプレートの選択タブ
5. で適切なスキャンエンジンを選択します。エンジンを選択タブ
6. ​保存してスキャン]をクリックすると、完全スキャンが開始されます。

スキャンが開始されると、[スキャンの進行状況] セクションに進行状況が表示されます。スキャンが完了したら、各資産のリスク スコアを含むスキャン結果を表示し、特定された脆弱性に基づいて修復の優先順位を決定します。

エクサビーム究極のRapid7代替ソフト

セキュリティ情報・イベント管理（SIEM）ソリューションのリーディング・プロバイダーであるExabeamは、UEBA、SIEM、SOAR、TDIRを組み合わせ、セキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。

主な特徴

• スケーラブルなログ収集と管理：オープンプラットフォームは、ログのオンボーディングを70％高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
• 行動分析：高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
• 脅威対応の自動化：インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
• 状況に応じたインシデント調査：Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
• SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
• NetMonによるネットワークの可視化：ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。

エクサビームの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。

詳細はこちらExabeam Fusion SIEM