意大利大学通过Rapid7 insight tidr获得整体风险的“全景”视图
关于巴勒莫大学
巴勒莫大学(Universita ' degli Studi di Palermo)成立于1806年. 大学由12个学院组成,在校学生42,000人,员工3,600人.
Challenge
Gaetano Pisano, 巴勒莫大学(Universita’degli Studi di Palermo)的网络和安全管理员知道用一个小团队监控一个大环境是什么感觉, 从IT到安全. 负责整个大学数十万的资产, 它们的领域包括监视瞬态, 管理学生资产的棘手设备. 皮萨诺的团队需要在一个安全的地方收集和保存日志,以满足合规要求, 并根据日志中的数据回答问题.
Solution
巴勒莫大学(Universita’degli Studi di Palermo)已经转向了insighttidr的云计算能力, Rapid7的事件检测和响应解决方案, and InsightVM, Rapid7领先的漏洞管理解决方案expose的演变. Now, 他和他的团队能够监控成千上万的资产, 获得他们所有弱点和整体风险的“全景”. 部署insighttidr后,他们不再需要查询单个syslog服务器来查找答案.
Gaetano Pisano, 西西里岛巴勒莫大学的网络和安全管理员, Italy, 知道用一个小团队监控一个大环境是什么感觉. 帮助他有效地完成工作, 他转向了insighttidr的云计算能力, Rapid7的事件检测和响应解决方案, and InsightVM, Rapid7领先的漏洞管理解决方案expose的演变. Now, 他和他的团队能够监控成千上万的资产, 获得他们所有弱点和整体风险的“全景”. In this Q&首先,他更详细地讨论了他的项目的成功.
我们有超过42,000名学生和3,600名员工(教授和其他人). 它是意大利最大的10所大学之一. 我们在各种因素中排名第6位, 例如:为学生提供的服务, 带薪奖学金, 可用的设施, 提供的计算机化和数字化服务, 以及“国际化”的程度.”
你的安全团队有谁,你负责什么?
我们有3个人:2个IT人员和1个IT/安全人员. 我们正在使用InsightVM和insighttidr. 这是一个典型的情况,一个小团队负责从It到安全的所有事情.
告诉我们你正在监测的环境.
盖塔诺:我们负责整个大学的数十万资产. 这还包括监控一种暂时的、棘手的设备来管理:我们学生的资产.
漏洞管理和事件响应如何适合您的业务和安全策略?
GAETANO:我们希望能够使用一个查询跨多个服务进行搜索. 在过去,我们必须单独查询每个服务器. 我们还想要一个所有漏洞的“全景”,以及对整体风险和暴露服务的可见性. 我喜欢能够使用Rapid7 Project Sonar数据来确认哪些大学资产真正暴露在外部互联网上.
大学面临着怎样的安全挑战? 你想解决什么问题啊?
我们需要收集和保存我们的日志在一个安全的地方,以满足要求, 我们想用这些数据来回答问题. 部署insighttidr后,我们不再需要查询单个syslog服务器来查找答案. 我们还需要对一系列操作系统的灵活可见性, 从Windows, 从Mac和Linux到iOS, Android, 和Windows手机.
你为什么选择Rapid7?
盖太诺:我们在网上一个叫“网络图书馆”的黑客论坛(http://www)上听说过你.cybrary.it/forums/). 然后,我们发现Nexpose和insighttidr易于使用和配置.
在使用Rapid7之前,你使用的是什么工具?
在insight tidr之前,我们使用的是Snort和AlienVault. 在使用expose之前,我们使用的是OpenVas(开源).
在购买insight tidr之前,您是如何调查事件的?
GAETANO:我们之前使用的产品是Snort和AlienVault OSSIM. 使用日志条目查询语言(LEQL)在insighttidr中搜索日志比使用AlienVault更容易和直观. insighttidr提供了统计数据/查询,而AlienVault没有, 并且具有更多的开箱即用的价值.
insighttidr将大学日志数据集中在安全的云架构中. 你对insighttidr让你访问数据的方式满意吗.e. 日志搜索、仪表板和对用户行为的洞察)?
加埃塔诺:我们对搜索的速度、仪表板的质量和清晰度感到非常满意. 仪表板非常直观——我喜欢它们简洁,只包含我想要的信息.
insightdr是如何融入你们的SIEM战略的?
我们使用InsightIDR进行集中的日志管理、搜索和数据可视化. 然后,我们可以监控一般活动,以及用户端点上的流量峰值. 在确定这些异常之后,我们可以决定是否值得调查. 有一天在调查交通高峰时, 我们发现一台受SYN泛洪攻击影响的机器是由一台受损设备发起的.
到目前为止,insighttidr检测到什么样的事件?
GAETANO:该产品检测到恶意软件流量、渗透和持久性. 它有一次检测到SYN泛洪, 总的来说,它提供了调查活动高峰和个性化查询的能力,以检查像WannaCry这样的东西, for example.
你有什么关于产品的奇闻轶事想分享吗?
GAETANO: Yes! 有一天,我们的备用站点因为高温瘫痪了(我们在西西里岛), Italy), 但多亏了insighttidr,以及它将我们的数据集中在安全的云架构中,我们在日志存储方面没有任何问题.
您如何总结insight tidr对您的组织的好处?
GAETANO:它允许我们通过网络关联和查询来自数据源的日志. 我们喜欢insighttidr以低廉的价格将我们的日志安全地存储在云中. 本产品使用方便, 从盒子里拿出来, 带有许多行为检测, queries, and dashboards.
巴勒莫大学和Rapid7的下一步计划是什么?
盖太诺:在将来, 我们将把来自入侵检测系统(IDS)的威胁情报添加到insightdr中, 并将研究使用所包含的Insight Agent进行端点数据收集和检测. 此外,我们刚刚从expose转向InsightVM,这给我们留下了深刻的印象. 这个新版本的仪表盘和细节工作真的让我们大吃一惊.
在XDR出现之前,insight tidr就是XDR
