Rapid7 InsightIDR

Tous les SIEMs du marché sont bâtis autour d’une même hypothèse qui est malheureusement fausse pour la plupart des organisations : L’utilisateur du SIEM a une connaissance très fine des attaques et des logs qu’elle génère. Ainsi tous les SIEMs du marché sont des boites à outils qui permettent de classer les logs et de les combiner entre eux pour déterminer qu’une attaque a eu lieu. C’est ce qu’on appelle la corrélation.

Malheureusement, ceci est totalement faux dans 99% des organisations publiques et privées. Les acheteurs de SIEM attendent au contraire que le SIEM qu’ils achètent leur aide à comprendre les logs générés par leurs systèmes. Ils attendent que ce soit le SIEM qui leur traduise ce chaos en une information utile.

C’est là qu’InsightIDR se différencie du reste du marché du SIEM. InsightIDR sait détecter qu’une attaque a réussi sans qu’on ne lui définisse quoique ce soit à part quelques sources de logs. C’est le seul SIEM immédiatement utilisable et dont l’entrée en production a lieu en quelques jours.

Comment est-ce possible ? InsightIDR a été construit autour d’années d’expérience en pentest de Rapid7. Rapid7 a compris qu’une attaque réussie provoquait toujours certains évènements et logs et qu’ils étaient très importants. Ce sont donc ces évènements qu’il faut traiter, les autres n’étaient au mieux qu’un simple détail, au pire du bruit qui gêne l’analyste.

Concrètement, InsightIDR est déjà opérationnel avec trois sources de logs : l’Active Directory, le DNS et le serveurs DHCP. Il ne nécessite pas de phase d’apprentissage ou de « nettoyage des faux positifs ». Là où un produit concurrent a besoin de 6 mois avant d’être opérationnel, InsightIDR n’a besoin que d’une semaine.

Nellsoft travaille avec Rapid7 depuis plus de 10 ans. Avec des clients de toute tailles et de toute industrie à travers le monde, il dispose d’une solide expérience. Nellsoft saura vous aider à tirer le meilleur de votre investissement.